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出 版 说 明 一 


21 世纪 是 信息 时 代 , 信 息 已 成 为 社会 发 展 的 重要 战略 资源 ,社会 的 信息 
化 已 成 为 当今 世界 发 展 的 潮流 和 核心 ,而 信息 安全 在 信息 社会 中 将 扮演 极为 
重要 的 角色 , 它 会 直接 关系 到 国家 安全 ,企业 经 营 和 人 们 的 日 常生 活 。 随 着 
信息 安全 产业 的 快速 发 展 ,全 球 对 信息 安全 人 才 的 需求 量 不 断 增加 ,但 我 国 
目前 信息 安全 人 才 极度 匮乏 , 远 远 不 能 满足 金融 商业、 公安 .军事 和 政府 等 
部 门 的 需求 。 要 解决 供需 矛盾 ,必须 加 快 信息 安全 人 才 的 培养 ,以 满足 社会 
对 信息 安全 人 才 的 需求 。 为 此 ,教育 部 继 2001 年 批准 在 武汉 大 学 开设 信息 
安全 本 科 专 业 之 后 ,又 批准 了 多 所 高 等 院 校 设 立信 息 安全 本 科 专 业 , 而 且 许 
多 高 校 和 科研 院 所 已 设立 了 信息 安全 方向 的 具有 硕士 和 博士 学 位 授予 权 的 
学 科 点 。 

信息 安全 是 计算 机 、 通 信 、 物 理 、 数 学 等 领域 的 交叉 学 科 , 对 于 这 一 新 兴 
学 科 的 培养 模式 和 课程 设置 ,各 高 校 普 遍 缺 乏 经 验 ,因此 中 国 计 算 机 学 会 教 
育 专业 委员 会 和 清华 大 学 出 版 社 联合 主办 了 "信息 安全 专业 教育 教学 研讨 
会 "等 一 系列 研讨 活动 ,并 成 立 了 “高 等 院 校 信息 安全 专业 系列 教材 "编审 委员 
会 ,由 我 国信 息 安 全 领域 著名 专家 肖 国 镇 教授 担任 编 委 会 主任 ,指导 “高 等 院 校 
信息 安全 专业 系列 教材 "的 编写 工作 。 编 委 会 本 着 研究 先行 的 指导 原则 ,认真 
研讨 国内 外 高 等 院 校 信息 安全 专业 的 教学 体系 和 课程 设置 ,进行 了 大 量 前 脆性 
的 研究 工作 ,而 且 这 种 研究 工作 将 随 着 我 国信 息 安全 专业 的 发 展 不 断 深入 。 系 
列 教材 的 作者 都 是 既 在 本 专业 领域 有 深厚 的 学 术 造 话 、 又 在 教学 第 一 线 有 丰富 
的 教学 经 验 的 学 者 .专家 。 

该 系列 教材 是 我 国 第 一 套 专门 针对 信息 安全 专业 的 教材 ,其 特点 是 ， 

O 体系 完整 结构 合理 、 内 容 先 进 。 

@ 适应 面 广 :能 够 满足 信息 安全 、 计 算 机 ,通信 工程 等 相关 专业 对 信息 
安全 领域 课程 的 教材 要 求 。 

O 立体 配套 : 除 主教 材 外 ,还 配 有 多 媒体 电子 教案 ,习题 与 实验 指导 等 。 

@ 版 本 更 新 及 时 , 紧 跟 科学 技术 的 新 发 展 。 

在 全 力 做 好 本 版 教材 ,满足 学 生 用 书 的 基础 上 ,还 经 由 专家 的 推荐 和 审 
定 , 远 选 了 一 批 国外 信息 安全 领域 优秀 的 教材 加 入 到 系列 教材 中 ,以 进一步 
满足 大 家 对 外 版 书 的 需求 。“ 高 等 院 校 信息 安全 专业 系列 教材 ”已 于 2006 年 
年 初 正式 列 入 普通 高 等 教育 “十 一 五 ”国家 级 教材 规划 。 

2007 年 6 月 ,教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 成 立 大 会 
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又 第 一 次 会 议 在 北京 胜利 召开 。 本 次 会 议 由 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委 
员 会 主任 单位 北京 工业 大 学 和 北京 电子 科技 学 院 主 办 ,清华 大 学 出 版 社 协办 。 教 育 部 高 
等 学 校 信息 安全 类 专业 教学 指导 委员 会 的 成 立 对 我 国信 息 安全 专业 的 发 展 起 到 重要 的 指 
导 和 推动 作用 。2006 年 教育 部 给 武汉 大 学 下 达 了 “信息 安全 专业 指导 性 专业 规范 研制 ” 
的 教学 科研 项 目 。2007 年 起 该 项 目 由 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 
组 织 实施 。 在 高 教 司 和 教 指 委 的 指导 下 ,项 目 组 团结 一 致 ,努力 工作 ,克服 困难 ,历时 5 
年 ,制定 出 我 国 第 一 个 信息 安全 专业 指导 性 专业 规范 ,于 2012 年 年 底 通 过 经 教育 部 高 等 
教育 司 理工 科教 育 处 授权 组 织 的 专家 组 评审 ,并 且 已 经 得 到 武汉 大 学 等 许多 高 校 的 实际 
使 用 。2013 年 ,新 一 届 “ 教 育 部 高 等 学 校 信 息 安全 专业 教学 指导 委员 会 "成立 。 经 组织 审 
查 和 研究 决定 ,2014 年 以 “教育 部 高 等 学 校 信息 安全 专业 教学 指导 委员 会 ”的 名 义 正式 发 
布 《高 等 学 校 信 息 安 全 专业 指导 性 专业 规范 》( 由 清华 大 学 出 版 社 正式 出 版 )。 

2015 年 6 月 ,国务院 学 位 委员 会 .教育 部 出 台 增设 “网 络 空间 安全 ”为 一 级 学 科 的 决 
定 , 将 高 校 培 养 网 络 空 间 安 全 人 才 提 到 新 的 高 度 。2016 年 6 月 ,中 央 网 络 安全 和 信息 化 
领导 小 组 办 公 室 ( 下 文 简称 中 央 网 信 办 ) 、 国 家 发 展 和 改革 委员 会 .教育 部 、 科 学 技术 部 \、 工 
业 和 信息 化 部 及 人 力 资源 和 社会 保障 部 六 大 部 门 联合 发 布 (关于 加 强 网 络 安全 学 科 建 设 
和 人 才 培 养 的 意见 (中 网 办 发 文 [2016]4 号 )。 为 贯彻 落实 (关于 加 强 网 络 安全 学 科 建 设 
和 人 才 培 养 的 意见 》, 进 一 步 深 化 高 等 教育 教学 改革 ,促进 网 络 安全 学 科 专业 建设 和 人 才 
培养 ,促进 网 络 空间 安全 相关 核心 课程 和 教材 建设 ,在 教育 部 高 等 学 校 信息 安全 专业 教学 
指导 委员 会 和 中 央 网 信 办 资助 的 网 络 空间 安全 教材 建设 课题 组 的 指导 下 ,启动 了 “网 络 空 
间 安 全 重点 规划 丛书 ?的 工作 , 巾 教育 部 高 等 学 校 信息 安全 专业 教学 指导 委员 会 秘书 长 封 
化 民 校 长 担任 编 委 会 主任 。 本 规划 丛书 基于 “高 等 院 校 信息 安全 专业 系列 教材 "坚实 的 工 
作 基 础 和 成 果 、 阵 容 强大 的 编审 委员 会 和 优秀 的 作者 队伍 ,目前 已 经 有 多 本 图 书 获得 教育 
部 和 中 央 网 信 办 等 机 构 评选 的 “普通 高 等 教育 本 科 国 家 级 规划 教材 ”“ 普 通 高 等 教育 精品 
教材 “中 国 大 学 出 版 社 图 书 奖 " 和 “国家 网 络 安全 优秀 教材 奖 " 等 多 个 奖项 。 

“网 络 空间 安全 重点 规划 丛书 ?将 根据 (高 等 学 校 信息 安全 专业 指导 性 专业 规范 )( 及 
后 续 版 本 ) 和 相关 教材 建设 课题 组 的 研究 成 果 不 断 更 新 和 扩展 ,进一步 体现 科学 性 .系统 
性 和 新 颖 性 ,及 时 反映 教学 改革 和 课程 建设 的 新 成 果 , 并 随 着 我 国 网 络 空间 安全 学 科 的 发 
展 不 断 完 善 ,力争 为 我 国 网 络 空间 安全 相关 学 科 专 业 的 本 科 和 研究 生 教材 建设 .学 术 出 版 
与 人 才 培 养 做 出 更 大 的 贡献 。 

我 们 的 E-mail 地 址 是 : zhangm@tup. tsinghua. edu. cn. KAA: 张 民 。 


“网 络 空间 安全 重点 规划 丛书 ”编审 委员 会 


wre es 
Hy 三 


信息 安全 是 一 个 综合 、 交 叉 的 学 科 和 领域, 涉及 数学 .电子 .信息 .通信 、 
计算 机 等 诸多 学 科 的 长 期 知识 积累 和 最 新 发 展 成 果 ,密码 学 是 信息 安全 的 
核心 技术 ,密码 技术 中 的 加 密 方法 包括 单 钥 密码 体制 和 公 钥 密码 体制 。 刻 
画 公 钥 密 码 体制 的 安全 性 包括 两 部 分 : 首先 是 刻画 敌手 的 模型 ,说 明 敌 手 
访问 系统 的 方式 和 计算 能 力 ; 其 次 是 刻画 安全 性 概念 ,说 明 敌 手 攻破 了 
方案 的 安全 性 意味 着 什么 。 公 钥 加 密 方案 语义 安全 的 概念 由 Goldwasser 
和 Micali F 1984 年 提出 , 它 以 一 种 思维 实验 的 模型 刻画 了 敌手 通过 密 
文 得 不 到 明文 的 任何 部 分 信息 ,即使 是 1 比特 的 信息 。 这 一 概念 的 提出 
开创 了 可 证 明 安 全 性 领域 的 先河 ,将 密码 学 建立 在 了 计算 复杂 性 理论 之 
上 ,奠定 了 现代 密码 学 理论 的 数学 基础 ,从 而 将 密码 学 从 一 门 艺术 变 为 
一 门 科学 。 所 以 说 可 证 明 安 全 性 是 密码 学 和 计算 复杂 性 理论 的 天 作 
L 

本 书 全 面 介 绍 可 证 明 安 全 性 的 发 展 历史 及 研究 成 果 , 共 5 章 。 第 1 章 
介绍 可 证 明 安 全 性 用 到 的 一 些 数学 知识 和 基本 工具 ,包括 密码 学 中 一 些 常 
用 的 数论 知识 和 代数 知识 、 计 算 复杂 性 、 陷 门 置换 、 零 知识 证 明 、 张 成 方案 
与 秘密 分 割 方案 、 归 约 。 第 2 章 介 绍 语义 安全 的 公 钥 密码 体制 的 定义 , 包 
括 公 钥 加 密 方 案 在 选择 明文 攻击 下 的 不 可 区 分 性 , 公 钥 加 密 方案 在 选择 密 
文 攻击 下 的 不 可 区 分 性 , 公 钥 加 密 方案 在 适应 性 选择 密 文 攻击 下 的 不 可 区 
分 性 。 第 3 章 介绍 几 类 常用 的 语义 安全 的 公 钥 机 密 体 制 ,包括 语义 安全 的 
RSA 加 密 方 案 、Paillier 公 钥 密码 系统 、Cramer-Shoup 密码 系统 .RSA-FDH 
签名 方案 、BLS 短 签名 方案 、 抗 密 钥 泄露 的 公 钥 加 密 系统 。 第 4 章 介绍 基 
于 身份 的 密码 体制 ,包括 基于 身份 的 密码 体制 定义 和 安全 模型 ,随机 论 言 
机 模型 下 的 基于 身份 的 密码 体制 ,无 随机 论 言 机 模型 的 选 定 身份 安全 的 
IBE, 无 随机 论 言 机 模型 下 的 完全 安全 的 IBE, 密 文 长 度 固定 的 分 层次 IBE, 
基于 对 偶 系 统 加 密 的 完全 安全 的 IBE 和 HIBE、 从 选择 明文 安全 到 选择 密 
文安 全 。 第 5 章 介 绍 基于 属性 的 密码 体制 ,包括 基于 属性 的 密码 体制 的 一 
般 概念 ,基于 模糊 身份 的 加 密 方案 ,基于 密 钥 策 略 的 属性 加 密 方案 ,基于 密 
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第 1 音 
”一些 基本 概念 和 工具 


本 章 介绍 可 证 明 安全 的 密码 学 中 常用 的 一 些 数 学 知识 和 基本 工具 。 


1.1 密码 学 中 一 些 常用 的 数学 知识 





1.1.1 群 \ 环 \ 域 


群 . 环 、 域 都 是 代数 系统 (也 称 代 数 结构 )。 代 数 系统 是 对 要 研究 的 现象 或 过 程 建立 的 
一 种 数学 模型 ,模型 中 包括 要 处 理 的 数学 对 象 的 集合 以 及 集合 上 的 关系 或 运算 ,运算 可 以 
是 一 元 的 也 可 以 是 多 元 的 ,可 以 有 一 个 也 可 以 有 多 个 。 

设 * 是 集合 S 上 的 运算 ,车 对 Va,bES, 有 ax*6bES, 则 称 S 对 运算 * 是 封闭 的 。 若 
* 是 一 元 运算 ,对 Va€ES, 有 *aE€5S, 则 称 S 对 运算 * 是 封闭 的 。 

车 对 Va,b,cES, 有 (a*6b) *c=a* (b* c) MRK = 满足 结合 和 

定义 1-1 设 (G ,* ) 是 一 个 代数 系统 ,x 满足 

(1) 封闭 性 。 

(2) 结合 律 。 
则 称 (G , * ) 是 半 群 。 

定义 1-2 KRG, * ) 是 一 个 代数 系统 , * 满足 

(1) 封闭 性 。 

(2) 结合 律 。 

(3) 存在 元 素 e, 对 YaEG ,有 ax*e 二 ex* a=a.e 称 为 (G , * ) 的 单位 元 。 

(4) 对 YaEG ,存在 元 素 a'i} a*a =a) tame, Ra ! 为 元 素 a 的 逆 元 。 
则 称 (G , * ) 是 群 。 若 其 中 的 运算 * 已 明确 ,有 时 将 (G , * ) 简 记 为 G。 

WRG 是 有 限 集合 , 则 称 (G , * ) 是 有 限 群 ,否则 是 无 限 群 。 有 限 群 中 ,G 的 元 素 个 数 
称 为 群 的 阶 数 。 

如 果 群 (G , * 中 的 运算 * 还 满足 交换 律 , 即 对 Va.65EG ,有 ax*0 一 0xa, 则 称 (G ， 
* ) 为 交换 群 或 Abel 群 。 

群 中 运算 * 一 般 称 为 乘法 , 称 该 群 为 乘法 群 。 若 运算 * 改 为 十 , 则 称 为 加 法 群 ,此 时 
逆 元 c 一 写成 一 a。 

【 例 1-1) 

(1) 《I, 十 ) 是 Abel 群 , 其 中 工 是 整数 集合 。 

(2) (Q, + ) 是 Abel 群 ,其 中 QQ 是 有 理 数 集合 。 
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(3) 设 A 是 任 一 集合 ,P 表示 A 上 的 双 射 函数 集合 ,AP,*) 是 群 ,这 里 "表示 函数 的 合 
成 ,通常 这 个 群 不 是 Abel 群 。 

(4) (2Z, ,十 ,) 是 Abel 群 ,其 中 Z,== {0,1,…,n 一 1} ,十 , 是 模 加 ,a 十 ,b 等 于 (a 十 b) 
mod n.z ! 二 n 一 +。(Z,，X,) 不 是 群 ,因为 0 RA WIC. KX, ERR. aX, b 等 于 (aX 
b) mod n, 

定义 1-3 设 (G ,* ) 是 一 个 群 ,I 是 整数 集合 。 如 果 存 在 一 个 元 素 g€ G ,对 于 每 一 
ATK ACG ,都 有 一 个 相应 的 iE1, 能 把 a 表示 成 g', 则 称 (G , * ) 是 循环 群 ,g 称 为 循环 
群 的 生成 元 , 记 G = 二 (g) 二 {g'|i€E1T}。 称 满足 方程 a” 二 e 的 最 小 正 整 数 m 为 a 的 阶 , 记 
为 |a|。 

密码 学 中 使 用 的 群 大 多 为 循环 群 ,循环 群 的 性 质 在 1. 1. 10 节 和 1. 1. 11 节 专 门 介 绍 。 

定义 14 若 代数 系统 (及 ,十 ,。) 的 二 元 运算 十 和 “， 满足 

(1) (R, +) 4d Abel 群 。 

(2) (R, EER. 

(3) 乘法 . 在 加 法 十 上 可 分 配 , 即 对 Va,b,cER, 有 

a» (b+e)=abti+ae*c 和 (b+e)*a=b*atcea 
MER, +, ER., 

【 例 1-2] 

(1) 《1, 十 ,。) 是 环 , 因 为 (1, 十 ) 是 Abel 群 , (I,，。) 是 半 群 ,乘法 .在 加 法 十 上 可 
分 配 。 

(2) 《2Z, ,十 ,,X,) 是 环 , 因 为 (2Z, ,十 ,) 是 Abel RE, (Z, X D EER, X, 对 十 , 可 分 配 。 

(3) (M, +. VÆRA E M, 是 1 上 nnXn 方 阵 集 合 ,十 是 矩阵 加 法 ,， 是 和 矩阵 
乘法 。 

(4) 《R(z) ,十 ,，) 是 环 ,这 里 R(z) 是 所 有 实 系 数 的 多 项 式 集合 ,十 和 。… 分 别 是 多 项 
式 加 法 和 乘法 。 

定义 1-5 若 代数 系统 (F ,十 ,。) 的 二 元 运算 十 和 “。 满足 

(1) (F ,十 ) 是 Abel 群 。 

(2) (了 一 {0},。) 是 Abel 群 ,其 中 0 是 十 的 单位 元 。 

(3) Fe + 在 加 法 十 上 可 分 配 , 即 对 Va,b,cEF ,有 

ae(b+c) 一 wa 0 十 ac 和 (0 十 c) 一 0a 十 ca 
则 称 ( ,十 ,。 是 域 。 

(Q+, DR, +, eC, ORERE QRC 分 别 是 有 理 数 集合 实数 集 
合 和 复数 集合 。 

有 限 域 是 指 域 中 元 素 个 数 有 限 的 域 ,元 素 个 数 称 为 域 的 阶 。 若 g 是 素数 的 寡 , 即 g= 
p” ,其 中 pp 是 素数 ,r 是 自然 数 , 则 阶 为 g 的 域 称 为 Galois 域 , 记 为 GF(g) 或 F,。 

已 知 所 有 实 系数 的 多 项 式 集合 R(z) 在 多 项 式 加 法 和 乘法 运算 下 构成 环 。 类似 地 , 任 
意 域 玉 上 的 多 项 式 ( 即 系数 取 自 F EA F(x) 在 多 项 式 的 加 法 和 乘法 运算 下 也 构成 环 。 

F(z) 中 不 可 约 多 项 式 的 概念 与 整数 中 的 素数 概念 类 似 ,是 指 在 F 上 仅 能 被 非 0 常数 
或 自身 的 常数 倍 除 尽 ,但 不 能 被 其 他 多 项 式 除 尽 的 多 项 式 。 
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两 个 多 项 式 的 最 高 公 因 式 为 1 时 , 称 它们 互 素 。 

多 项 式 的 系数 取 自 以 素数 p 为 模 的 域 F 时 ,这 样 的 多 项 式 集合 记 为 F, [r]. Æ 
m(z) 是 F,[rj 上 的 次 不 可 约 多 项 式 ,F, [zx] 上 多 项 式 加 法 和 乘法 改 为 以 m (z) 为 模 的 
加 法 和 乘法 ,此 时 的 多 项 式 集合 记 为 F, [z]/m (xz), 集合 中 元 素 个 数 为 p",F,[zj]/m(z) 
是 一 个 有 限 域 GFO"). 


1.12 素数 和 互 素 数 


1. 因子 

设 a.b(5b 隆 0) 是 两 个 整数 ,如 果 存 在 另 一 整数 m, AEI a= mb, MEK b 整除 a, 记 为 
bla, 且 称 5 是 a 的 因子 。 否 则 称 5 不 整除 a, 记 为 bla。 

整除 具有 以 下 性 质 : 

(1) a|1, 那 么 a= 土 1。 

(2) a|bHb |a, W] a=b. 

(3) 对 任 一 5(5 取 0) .b| 0. 

(4) b| gob | h, WUT EEA m,n. b| (mg+nh). 

这 里 只 给 出 (4) 的 证 明 ,其 他 3 个 性 质 的 证 明 都 很 简单 。 

证 明 : 

(4) 由 5|g,6b|h 知 ,存在 整数 gi 、h ,使 得 

g=bgi, h=bh, 
所 以 
mg +nh = mbg, +nbh, = bmg, +nh,) 
因此 
b | (mg +nh) 


2 素数 

称 整数 p (p> 1) ERK, WR p 的 因子 只 有 士 1、 土 p。 

E p 不 是 素数 , 则 称 为 合 数 。 

任 一 整数 a (a 二 1) 都 能 唯一 地 分 解 为 以 下 形式 : 

a = pi pes pi 
FOP py <prop, ERM a, >0G=1,2,+50) fila: 
91 =7X13, 11011 =7 X 11? x13 
这 一 性 质 称 为 整数 分 解 的 唯一 性 ,也 可 如 下 陈述 : 
设 已 是 所 有 素数 集合 , 则 任意 整数 (a 二 1) 都 能 唯一 地 写成 以 下 形式 : 


a= Jle 
pEP 
其 中 a,>0. 
等 号 右边 的 乘积 项 取 所 有 的 素数 ,然而 大 多 指数 项 a, 为 0。 
相应 地 , 任 一 正 整 数 也 可 由 非 0 指数 列表 表示 。 例 如 ,11011 可 表示 为 {far 二 1,an = 
2,ais: 一 1)}。 
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两 数 相 乘 等 价 于 对 应 的 指数 相 加 , 即 , 由 & 一 zz 可 得 : 对 每 一 素数 pkp =m, Hno 
mih alb 可 得 : 对 每 一 素数 p, as 三 b,。 这 是 因为 p* 只 能 被 DIGOR. 


3. 互 素 数 

FR c 是 两 个 整数 a b 的 最 大 公 因 子 ,如 果 

QD) ca 的 因子 也 是 5 的 因子 , 即 c 是 a wb 的 公 因 子 。 

(2) a 和 2 的 任 一 公 因 子 , 也 是 c 的 因子 。 
表示 为 c= (a,b). 

由 于 要 求 最 大 公 因 子 为 正 , 所 以 (a,6)== (a. —b) = (—a+b) = (—a.—b), 一般 
(a,b) 二 (|a|,15|)。 由 任 一 非 0 整数 能 整除 0, 可 得 (a,0) 二 a。 如 果 将 a、b 都 表示 为 素 
数 的 乘积 , 则 (a,b) 极 易 确定 。 

【 例 1-3] 














300 = 2? x 3! x 5? 
1s:= 2) «3? 
(18,300) = 2! x 3! x 5° =6 
一 般 由 c= 二 (a,6) 可 得 : 对 每 一 素数 p.cp=min{a, sb} o 
如 果 (a,5) 二 1, 则 称 a Hb HER. 
称 d 是 两 个 整数 a vb 的 最 小 公 倍数 ,如 果 
(1) d 是 a 的 倍数 也 是 5 的 倍数 , 即 d 是 a wb。 NAPE. 
(2) a 和 2 的 任 一 公 倍数, 也 是 d 的 倍数 。 
表示 为 c= [arb]. 
若 ab EMAER HERK, N [a,b] = 二 ab。 


113 RER 
设 n 是正 整数 ,a EMR. RA n Ra ,得 商 为 g, 余 数 为 7, 则 
a=qetr, 0<r<n, a=] 


n 
其 中 [Lz 雯 小 于 或 等 于 zx 的 最 大 整数 。 
用 a mod n AAA r W 


a =| |ata mod n 


如 果 a mod n=b mod n, 则 称 两 个 整数 a Mo Bin 同 余 , 记 为 a 三 b mod n。 称 与 a 模 n 同 
余 的 数 的 全 体 为 a 的 同 余 类 , 记 为 [a], 称 a 为 这 个 同 余 类 的 表示 元 素 。 

注意 : 如 果 a 三 0 mod n, 则 nla. 

同 余 有 以 下 性 质 : 

(1) n| (a—b) 45 a=b mod n 等 价 。 

(2) a mod n=b mod n; 则 a=b mod n. 

(3) a=b mod n, Ill] b=a mod n. 


(4) a=b mod n.b=c mod n, Ill] a=c mod ns 
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(5) 如 果 a=b mod n,d |n, W] a=b mod d, 

(6) 如 果 a=b mod m(i=1,2.° 8) sd= [n sns" n] , 则 a=b mod d., 

证 明 : 

(5) H a=b mod n Rd|n.4n| (a—b).d| (a—b). 

(6) 由 a=b mod n; 得 ,ni | (a 一 6), 即 a 一 b FE m ,mp,… sm 的 公 倍数 ,所 以 d| (a 一 5)。 

从 以 上 性 质 易 知 , 同 余 类 中 的 每 一 元 素 都 可 作为 这 个 同 余 类 的 表示 元 素 。 

求 余 数 运算 (简称 求 余 运 算 )a mod n 将 整数 a 映射 到 集合 {0,1,…,n 一 1} , 称 求 余 运 
算 在 这 个 集合 上 的 算术 运算 为 模 运 算 , 模 运算 有 以 下 性 质 : 

(1) [Ca mod n)+(b mod n)] mod n=(a+b) mod n. 

(2) [Ca mod n)— (b mod n) ] mod n=(a—b) mod n. 

(3) [Ca mod n) X (b mod n)] mod n=(a Xb) mod n. 

证 明 : 

(1) 设 a mod n=r, (b mod n) =r, , 则 存在 整数 j k 使 得 a=jn tr, b=kn+r,. At 

(十 0) mod n =(G +k)n + ra +r] mod n = (ra +15) mod n 
一 [Ca mod n) + (b mod n)] mod n 


























(2)、(3) 的 证 明 类 似 。 
【 例 1-4] 设 Z: 一 (0,1,…,7} ,考虑 Zs 上 的 模 加 法 和 模 乘法 ,结果 如 表 1-1 所 示 。 
Ri-l 模 8 运算 

+ 0 1 2 3 4 5 6 E x 0 2 2 3 4 5 6 7 
0 0 1 2 3 4 5 6 7 0 0 0 0 0 0 0 0 0 
1 1 2 3 4 5 6 7 0 1 0 1 2 3 4 5 6 i 
2 2 3 4 5 6 7 0 1 2 0 2 4 6 0 2 4 6 
3 3 4 5 6 7 0 1 2 3 0 3 6 1 4 7 2 5 
4 4 5 6 7 0 1 2 3 4 0 4 0 4 0 4 0 4 
5 5 6 7 0 2 3 4 5 0 5 2 7 4 1 6 3 
6 6 7 0 1 2 3 4 5 6 0 6 4 2 0 6 4 2 
7 7 0 1 2 3 4 5 6 7 0 7 6 5 4 3 2 1 
























































从 加 法 结果 可 见 , 对 每 一 z+, 都 有 一 个 y, 使 得 z 十 y 三 0 mod 8。 如 对 2, 有 6, 使 得 2 十 
6 三 0 mod 8, 称 y 为 x 的 负数 ,也 称 为 加 法 逆 元 。 

Itr EH y, 使 得 z+Xy 三 1 mod 8.4 3X3=1 mod 8, 则 称 y 为 x 的 倒数 ,也 称 为 乘 
法 逆 元 。 本 例 可 见 并 非 每 一 工 都 有 乘法 逆 元 。 

一 般 , 定 义 Z, 为 小 于 nn 的 所 有 非 负 整数 集合 , 即 

Z,= {0,1,.…,n—1} 
称 Z, 为 模 n 的 同 余 类 集合 。 其 上 的 模 运算 有 以 下 性 质 : 
(1) 交换 律 : 
(wax) mod n = (x +w) mod n 


(wX zx) mod n = (x X w) mod n 
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(2) 结合 律 ; 
[Go 十 z) 十 y] mod n = [w+ (x +y)] mod n 
[Cw X zx) X y] mod n = [wX (x X y) ] mod n 
(3) 分 配 律 : 
[zwXx(z 十 y)] mod 2 一 [CoXz) 十 (zwwXy)] mod n 
(4) 单位 元 : 
(0 十 zw) mod n = w mod n 
A X w) mod n = w mod n 
(5) 加 法 道 元 : 对 wE2, ,存在 EZ, AG wtHr=0 mod n, 记 z= 二 一 w。 
此 外 还 有 以 下 性 质 : 


如 果 a 十 6 三 a 十 c mod n, W) b=c mod n, 称 为 加 法 的 可 约 律 。 

该 性 质 可 由 a 十 6 三 a 十 c mod n 的 两 边 同 加 上 a 的 加 法 逆 元 得 到 。 

然而 类 似 性 质 对 乘法 却 不 一 定 成 立 。 例 如 ,6X3 志 6X7 寺 2 mod 8, 但 347 mod 8。 
原因 是 6 乘 0 到 7 得 到 的 8 个 数 仅 为 Zs 的 一 部 分 ,看 上 例 。 如 果 将 对 Zs 作 6 的 乘法 6X 
Zs( 即 用 6 乘 Zs 中 每 一 数 ) 看 作 Zs 到 Zs 的 映射 的 话 ,Zs 中 至 少 有 两 个 数 映射 到 同一 数 , 因 
此 该 映射 为 多 到 一 的 ,所 以 对 6 来 说 ,没有 唯一 的 乘法 逆 元 。 但 对 5 来 说 ,5X 5 三 1 mod 
8, 因 此 5 有 乘法 逆 元 5。 仔细 观 察 可 见 ,与 8 互 素 的 几 个 数 1、3、5、7 都 有 乘法 逆 元 。 

WZ; ={a|0<a<n,(a.n)=1}, 

定理 1-1 2Z; 中 每 一 元 素 有 乘法 逆 元 。 

证 明 : 首先 证 明 Z; 中 任 一 元 素 a 与 Z; 中 任意 两 个 不 同 元 素 5、c( 不 妨 设 c 过 2) 相 乘 ， 
其 结果 必然 不 同 。 否 则 设 aXb 三 a Xc mod n, 则 存在 两 个 整数 he ,使 得 ab=kin+r, 
ac 二 kon 十 r, 可 得 a(b 一 c) 二 (一 kp)n, 所 以 a 是 (ki 一 ks)n 的 一 个 因子 。 又 由 (a,n)==1， 
得 a Æ ki — k: 的 一 个 因子 , 设 色 一 ks 二 ha, 所 以 a(b 一 c)= 二 kyan, 即 6 一 c==ksn, 与 0 二 c 二 
b<n F. V |aXZ; |= |Z; |. 

对 axXx2Z: 中 任 一 元 素 ac ,由 (ayz) 王 1,(c,z) 王 1, 得 (ac,z) 王 1,acEZ: ,所 以 ax 
Z, SZ, 。 

由 以 上 两 条 得 aXZ; =Z; 。 因 此 对 1EZ,; ,存在 XEZ; ,使 得 aXz 三 1 mod n, BI 
工 是 a 的 乘法 逆 元 。 记 为 z+=a !。 





(定理 1-1 证 毕 ) 
证 明 中 用 到 如 下 结论 : 设 ALB 是 两 个 集合 ,满足 ASB 有 |A|=|B|. 则 A=B。 
设 p 为 一 素数 , 则 Z, 中 每 一 非 0 元 素 都 与 p 互 素 ,因此 有 乘法 逆 元 。 类 似 于 加 法 可 
约 律 ,可 有 以 下 乘法 可 约 律 : 
MW aXb=(aXc) mod n Ha 有 乘法 逆 元 ,那么 对 aXb 夺 (aXc) mod n 两 边 同 乘 以 
a !, 即 得 b=c mod n. 


114 模 指 数 运算 


模 指数 运算 是 指 对 给 定 的 正 整 数 mn, 计算 a” mod n. 
[B] 1-5] a 二 7,n 二 19, 则 易 求 出 7'S7 mod 19, 77=11 mod 19, 77=1 mod 19. 
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由 于 7 二 FX7i 寺 7i mod 19. 所 以 7: 圭 7 mod 19, 77=7° mod 19,…， 即 从 74 mod 
19 开始 所 求 的 寡 出 现 循环 ,循环 周期 为 3。 

可 见 在 模 指 数 运算 中 , 若 能 找 出 循环 周期 , 则 会 使 得 计算 简单 。 

称 满足 方程 a" =1 mod n 的 最 小 正 整 数 m 为 模 n Fa 的 阶 , 记 为 ord, (a)。 

定理 1-2 Word, (4) 二 m,; 则 a* 夺 1 mod n 的 充 要 条 件 是 Hm WHR. 

证 明 : 设 存在 整数 g, 使 得 &=gqm, 则 a* 寺 (a”)" 寺 1 mod n, 

反之 ,假定 a* 夺 1 mod n, 令 k=gm 十 r, 其 中 0 二 r 三 m 一 1, 那 么 

a’ = (a")'a" =a" =1 mod n 
与 m 是 阶 矛 盾 。 
(定理 1-2 证 毕 ) 


115 费 马 定理 、 欧 拉 定 理 和 卡 米 吹 尔 定理 
这 3 个 定理 在 公 钥 密码 体制 中 起 着 重要 作用 。 


1. 费 马 定理 
定理 1-3( 费 马 定理 ) 车 p 是 素数 ,a 是 正 整 数 且 (ao,z)=1, 则 a? '=1 mod p. 
证 明 : 在 定理 1-1 的 证 明 中 知 , 当 (a,p) 二 1 时 , aXZ, 二 Z,, 其 中 aXZ, 表 示 a 与 
Z, 中 每 一 元 素 作 模 p HEHE. MA aX 0=0 mod p, 所 以 aX2Z, 一 {0}=2Z, 一 {0},aX (Z,— 
{0))=2Z, 一 {0}。 即 
{a mod p,2a mod 旋 ,…，,( 力 一 1)a mod p} = {1,2,%,p—1} 


分 别 将 两 个 集合 中 的 元 素 连 乘 ,得 

a X 2a X (p — l)a =[(a mod p) X (2a mod p) X = X ((p— 1)a mod p)] mod p 
=(p— 1)! mod p 

男 一 方面 : 


aX2aXxp— Da= (p—1) ta? 
因此 
(p—1) ta’! = (p—1)! mod p 
由 于 (p 一 1)1 与 p 互 素 , 因 此 (p 一 1)! BAK WIC, HHI AG a? '=1 mod p. 
(定理 1-3 证 毕 ) 
费 马 定 理 也 可 写成 如 下 形式 : 
i p 是 素数 ,a 是 任 一 正 整数 , 则 a*a mod p. 


2. KAT A g 
Kn eM Fn An 互 素 的 正 整 数 的 个 数 称 为 n 的 欧 拉 函 数 , 记 为 p(n)。 
【 例 1-6】 9(6)=2.¢(7) =6.9(8)=4. 
定理 1-4 
(1) 若是 素数 , 则 p(z) 一 2 一 1。 
(2) 若是 两 个 素数 p 和 g 的 乘积 , 则 Gn) =—(p) XG(q)=(p—-1) X (q- 1). 
1 


(3) E n FRET EK n = pp pe pr = pd=n(1-2.)--(1-2). 
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证 明 : 

(1) 显然 。 

(2) 考虑 Z, 二 {0,1,… ,pg 一 1} ,其 中 不 与 7 互 素 的 数 有 3 类 : A={p,2p,…,(g 一 1)p}， 
B={g,2g,…,(p 一 1)g},C= 二 {0}, 且 ANB= 多 ,否则 如 果 志 ==jq; 其 中 1<i<q-1, 
1<j<p-1,0 p Æj 的 因子 ,因此 是 j 的 因子 , 设 j==kp,k 宇 1。 则 ip 二 kpq,i 二 kgq, 与 
1Si<q-1 矛盾 。 所 以 

pn) =|2Z,|—[|IAI+IBI+ICI]= pgq—[(g—D)++(p—1) 二 +1] 
=(p—1)X(g—1)= GP) X plq) 

(3) 4n=p' 时 ,1 Bn Zi Gn 不 互 素 的 数 有 1p,2p,…,p”!1p, 共 pA, A 
op) =p p. 

4 n= po ppe pr 时 ,由 (2) 得 

gln) = GC pt Jop? ) oC pi) 
= (Pit — pi!) (PE — PE") (pe — pi") 


= ae ees 
A Pi 
[B 1-7] 9(21)=9(3X7)=9(3) X g(7) =2X6=12 


(72) = (283?) 72(1 r)( x) 24 








(定理 1-4 证 毕 ) 











3. 欧 拉 定 理 

定理 1-5( 欧 拉 定 理 ) 车 a 和 A.M a” =1 mod n. 

证 明 : 设 R={z ,zo，…,zgw) 是 由 小 于 nn 且 与 n 互 素 的 全 体 数 构成 的 集合 ,aXR= 
{axı mod n,axz mod nsazrgw mod n} ,考虑 aXR 中 任 一 元 素 ax, mod n, Aa Fn ER., 
a, 与 nn 互 素 ,所 以 ax; 与 n 互 素 , 且 ax; mod n<n, A ax; mod nER, 所 以 aXRCER。 

MA aR 中 任意 两 个 元 素 都 不 相同 ,否则 ax; mod 2 一 azi mod n, H a Gn BRA 
Mla 在 模 n 下 有 乘法 逆 元 ,得 5r MAlaXR|=|R|, 得 aXR=R, 所 以 


gm) gmd gn) gn) gn) 


gmd 
[[ Gz; mod m = [es [Jar = [zi( modn), a + [[2; = [[ 2; mod n 
Ht i=l i=1 1 i=1 =i 


由 每 一 zi in HR, sa TL x. 与 n ux. le 在 mod n 下 有 乘法 逆 元 。 所 以 
a” =] modn 
(定理 1-5 证 毕 ) 
推论 ord, (a) | g(n). 
推论 说 明 ,ord, (a) 一 定 是 g(n) 的 因子 。 如 果 ord, a) =g). MEK a 为 2 的 本 原 根 。 
WR a 是 的 本 原 根 , 则 


在 模 n 下 互 不 相同 且 都 与 n BR, 
特别 地 ,如 果 a 是 素数 p 的 本 原 根 , 则 


ms 第 1 章 一 些 基本 概念 和 工具 mm 


在 模 p 下 都 不 相同 。 
【 例 1-8】 7 一 9, 则 p(z) 一 6。 考虑 2 在 mod 9 FASE: 
2 mod 9=2 2? mod9=4 23 mod 9 二 8 
24 mod 9=7 2° mod9=5 2° mod 9 二 1 
BN ord, (2)=9(9) FTL 2 为 9 的 本 原 根 。 
【 例 1-9】 n=19,a=3 在 模 19 FANE I 
3,9,8,5,15,7,2,6,18,16,10,11,14,4,12,17,13,1 
HD ordis (3) =18=9(19) ,所 以 3 为 19 的 本 原 根 。 
本 原 根 不 唯一 。 可 验证 除 3 外 ,19 的 本 原 根 还 有 2,10.13,14,15。 
注意 ,并 非 所 有 的 整数 都 有 本 原 根 ,只 有 以 下 形式 的 整数 才 有 本 原 根 : 
2, 4, pP, 2p 
其 中 p 为 奇 素数 。 


4. “EK ERR EB 

对 满足 (Ca,z) 王 1 的 所 有 a ,使 得 a" =1 mod n 同时 成 立 的 最 小 正 整数 mm , 称 为 n 的 卡 
AK KAR (Carmichael) 函数 , 记 为 4(n)。 

【 例 1-10] n==8, 与 8 互 素 的 数 有 1,3,5,7, 即 p(8)=4. 

1? =1 mod8 3?=1mod8 5°=1mod8 7? =1 mod8 

所 以 AC8) = 2. 

MiG AAG H AG) Sen) 。 

定理 1-6 

(1) WR alb W ACA) |A) 

(2) XPE RE AY EMM ab. A(ab) = [ACa) AC) ] 


gin) = 1, n=1 

pm) = 1, n=2 

p(n) = 2, n=4 

1 

son) = 27", =2,a>2 
(3) a(n) = 42°" a 

(n) = p—l1, n= p: p 为 奇 素数 

g(n) = p*— p, n= p.p 为 奇 素数 a 二 1 

Dory airy}. n= [Lor 

i=1 

iE AA: 


(1) HE (2b) =1 TAT r, =1 mod b, H a |b, =1 moda. ACD) = 
kiCa) +r. HEP O<r<ACa) , 则 2? = (2 tr =E=] mod a, FV r=0. Bl ACa) JAC). 
(2) 由 (1) 得 ,XCa) |A(ab) ACB) |à (ab), BDA (ab) ACA) MAC) NA RR. Li d 
FEA (a) BACH) AY FE RL. HOA Ca) ld. AC) ld I x4 =1 mod a.x4=1 mod b, HP 
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(v,a)=1, (2,6) =1, RW 24=1 mod ab, Hf (x,ab)=1,A(ab)|d. PUL A(ab) FEA (a) 
和 4(5) 的 最 小 公 售 数 。 

(3) 可 由 (2) 得 到 。 

(定理 1-6 证 毕 ) 

定理 1-7( 卡 米 歇 尔 定理 ) Ba 和 R.W a” =1 mod n, 

证 明 : 设 n= pp ppe pr FEWE a=] mod pf (i 二 1,2,"…,1)。 

如 果 pr 二 2,4 或 奇 素数 的 寡 , 由 定理 1-6(3) A( pt) =pl ) MV AH? Sar =] 
mod pti, MP A( pt ) JAGD HEL a =1 mod pi 。 

4 pr =2% (a; >2 ITA (pF = 702 ) =2% 下 ,需要 证 明 a“ =1 mod 2% ,对 w 用 
归纳 法 。 当 a; 二 3 时 ,a 三 1] mod 8 对 每 一 奇 整数 a MIL. Ba” = mod 2% Ha; 成 立 ， 
Bp a2 “二 1 十 t2" ,t 是 一 正 整 数 。 则 当 @i 十 1 时 ,a 二 (1 十 t2% 2 = 1 F024 22% = 1 
mod 2%11。 由 归纳 法 ,a*“” 三 1 mod 2% HEH a; (a, >DE. 

由 a =] mod pë (i 二 1,2,…,t) ,得 a" 二 1 mod d, HP d= [pi pe opt ]= 


pi pe pr =n TW a” =1 mod n, 
(定理 1-7 证 毕 ) 
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欧 几 里 得 (Euclid) 算 法 是 数论 中 的 一 个 基本 技术 ,是 求 两 个 正 整数 的 最 大 公 因 子 的 
简化 过 程 。 而 推广 的 欧 几 里 得 算法 不 仅 可 求 两 个 正 整 数 的 最 大 公 因 子 , 而 且 当 两 个 正 整 
数 互 素 时 ,还 可 求 出 其 中 一 个 数 关于 另 一 个 数 的 乘法 逆 元 。 


1. 求 最 大 公 因 子 

欧 几 里 得 算法 是 基于 下 面 的 基本 结论 。 

设 ab 是 任意 两 个 正 整 数 , 它 们 的 最 大 公 因 子 记 为 (a,5)。 有 以 下 重要 结论 : 

(a,b) = (b.a mod b) 

证 明 :4 是 正 整 数 ,因此 可 将 a RIRH a=kb+r.a mod b=r, HP k WHER, HL 
a mod b=a— kb, 

设 d Æa b WAAT. E dla.d|b. FFL d\kb. H dla Fd |kb $d ]|Ca modo) ,因此 
d 是 b 和 a modz 的 公 因子 。 

所 以 得 出 ab 的 公 因 子 集合 与 5.a mod 的 公 因子 集合 相等 ,两 个 集合 的 最 大 值 也 
相等 ,得 证 。 

在 求 两 个 数 的 最 大 公 因 子 时 ,可 重复 使 用 以 上 结论 。 

【 例 1-11〗 〈55,22) 一 (22,55 mod 22) 一 (22, 11)=(11,0)=11。 

【 例 1-12〗 (18,12)=(12,6)=(6,0)=6,(11,10)=(10,1)=1. 

下 面 给 出 欧 几 里 得 算法 。 设 a.b 是 任意 两 个 正 整 数 , 记 ro 二 a,n 王 5, 反复 用 上 述 除 
EATER IRIE) A 
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ro = nrq +rz» 0<n<n 
Ti = rege +r» 0<n<r 


Wa = Tran + Tas USRS RA 
Ta = 1 at Tr =0 
HF n Sb ry rg > rnp 20 LA RAEI RAF TE n (FE ri = 00 MFR Cab) = 
r, EEE RIK PE a — “SAE O 余数 就 是 a AD 的 最 大 公 因子 。 这 是 因为 (Ce,p) 一 (0， 
r2) = (re 73 ) 一 … 一 (rr -1y7) 一 (rs 0) = Tp o 
因 (a,5) 二 (lal ,151), 因 此 可 假定 算法 的 输入 是 两 个 正 整数 ,并 设 a 二 5b。 
欧 几 里 德 算 法 如 下 : 


EUCLID (a,b) 

. Xea; Yeb; 

. if Y=0 then return ¥ (a,b); 
. if %1 then return Y= (a,b); 
. R=Xmod Y; 

. X&Y; 








= YR 


wonse WH PP 


. goto 2. 


【 例 1-13] 求 (1970,1066)。 
1970 = 1 X 1066 +904 (1066, 904) 
1066 = 1 X 904 +162 (904, 162) 
904 = 5 X 162 + 94 (162, 94) 





162 = 1 X 94 +68 (94, 68) 
94 =1X68+26 (68, 26) 
68 =2X26+16 (26, 16) 
26 =1X16+10 (16, 10) 
16 =1X10+6 (10,6) 
10=1X6+4 (6. 4) 
6=1X4+2 (4, 2) 
4 一 2X2 十 0 (2, 0) 
因此 (1970, 1066)=2, 
TERRE BRIE PA 


To = Ta-2 — n-i Qn- 


Tal = Tr-3 一 Tn-2Qn-2 


ra = Ti — 1292 

r2 = ro— nq 
依次 将 后 一 项 带 入 前 一 项 ,可 得 由 二 a,n =b 的 线性 组 合 表示 。 因 此 有 如 下 结论 : 
11 
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存在 整数 st, 使 得 sa-tb= (ab) , 即 两 个 数 的 最 大 公 因 子 能 由 这 两 个 数 的 线性 组 合 表示 。 


2. 求 乘法 逆 元 
WR (a,b) =1,0 b EB a FARRA ba), MEE rla), tEh 
bx=1 moda。 推 广 的 欧 几 里 得 算法 先 求 出 (e,2) , 当 (e ,0) 王 1 时 , 则 返回 65 的 道 元 。 


EXTENDED EUCLID (a,b) ( 设 b< a) 
1. (%,%,%)* (1,0,4)7 (Yi, Y2, EB) (0,1,d)7 
2. if %=0 then return %= (a,b) ;no inverse; 
3 


. if %=1 then return %= (a,b);%=b* mod f; 


% 
+f 
5. (2,2, T) (%- Oh X- Oh X% Os) 
6. (%,%,%) (KK) 
: 
8 


(KEE) (n, R,T); 
. goto 2. 


算法 中 的 变量 有 以 下 关系 : 
aTi +6T,=T; aX, +bX: = X; ay +bY: = Y; 
这 一 关系 可 用 归纳 法 证 明 : 设 前 一 轮 的 变量 为 (T1,T2 T3), OX X2 X3), 1Y, 
Y ) 满 足 

















aTi+6Ts= Th aXi+bXs= Xs aYi+bY,= Y, 
则 这 一 轮 的 变量 (Ti s Tos T3), (Xi ,Xs,X;)、(Y1,Ys,Y;) 和 前 一 轮 的 变量 有 如 下 关系 : 
(Ti,T2,T3) = (X1— Q'Y1 X2 QY Xs— QYs) 
E E O OEE st E 
Kio Ya k= (hy Tes Bs) 








所 以 
aT, +6T, =a (X1— Q'Y1) 十 0CX2 一 QY2) 
一 aX14 十 上 ?一 Q'CoY14 十 572) 
一 X3 一 QY3 一 Ts 
aX, +6X, = aY1 十 6Y2 一 Y3 一 X; 
aY, + 6Y, = aT, +T: = T; = Y; 
在 算法 EUCLID, b) P, X 等 于 前 一 轮 循环 中 的 Y,Y 等 于 前 一 轮 循环 中 的 X mod Y. 
而 在 算法 EXTENDED EUCLID(a,5) 中 ,Xs 等 于 前 一 轮 循环 中 的 Ya, Ya 等 于 前 一 轮 循 
环 中 的 X: 一 QYs HF QE Y, BR Xs 的 商 , 因 此 Ys 是 前 一 轮 循环 中 的 Ys BR Xs 的 余数 ， 
即 X, mod Y; ,可 见 EXTENDED EUCLID(a,0) 中 的 X.Y; 与 EUCLID(a ,0 中 的 X 
作用 相同 ,因此 可 正确 产生 (a,6)。 
如 果 (a,5) 二 1, 则 在 倒数 第 二 轮 循 环 中 Y, 二 1。 由 Y; 二 1 可 得 
aY,+bY,=Y; ay 十 17: =1 bY, =1+(—Y,)Xa bY,=1 moda 
所 以 
Y, = b™ moda 
12 
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【 例 1-14】 求 (1769, 550)。 
算法 的 运行 结果 及 各 变量 的 变化 情况 如 表 1-2 所 示 。 
表 1-2 求 (1769,550) 时 推广 欧 几 里 得 算法 的 运行 结果 





























循环 次 数 Q xX X: X Y, Y: Ys 
初 值 i 1 0 1769 0 1 550 

1 3 0 1 550 1 一 3 119 

2 4 1 一 3 119 一 4 13 74 

3 1 一 4 13 74 5 一 16 45 

4 1 5 一 16 45 一 9 29 29 

5 1 一 9 29 29 14 一 45 16 

6 1 14 一 45 16 —23 74 13 

7 1 一 23 74 13 37 一 119 3 

8 4 37 一 119 3 一 171 550 1 























FLA (1769 550) =1,550-' mod 1769=550, 
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中 国 剩 余 定 理 是 数论 中 最 有 用 的 一 个 工具 , 它 有 两 个 用 途 , 一 是 如 果 已 知 某 个 数 关 于 
一 些 两 两 互 素 的 数 的 同 余 类 集 ,就 可 重 构 这 个 数 。 二 是 可 将 大 数 用 小 数 表示 ,大 数 的 运算 
通过 小 数 实现 。 

【 例 1-15] Zi 中 每 个 数 都 可 从 这 个 数 关 于 2 和 5(10 的 两 个 互 素 的 因子 ) 的 同 余 类 
重 构 。 比 如 已 知 zx 关于 2 和 5 的 同 余 类 分 别 是 [0] 和 [3j, 即 x mod 2=0,x mod 5=3, 
可 知 并 是 偶数 且 被 5 除 后 余数 是 3, 所 以 可 得 8 是 满足 这 一 关系 的 唯一 的 z。 

【 例 1-16】 假设 只 能 处 理 5 以 内 的 数 , 则 要 考虑 15 以 内 的 数 ,可 将 15 分 解 为 两 个 小 
素数 的 乘积 ,15=3X5, 将 1 一 15 的 数列 表 表 示 , 如 表 1-3 所 示 , 表 的 行 号 为 0~2, 列 号 为 
0 一 4, 将 1 一 15 的 数 填 人 表 中 ,使 得 其 所 在 行 号 为 该 数 除 3 得 到 的 余数 , 列 号 为 该 数 除 5 
得 到 的 余数 。 如 12 mod 3=0.12 mod 5 一 2, 所 以 12 应 填 在 第 0 行 .第 2 列 。 














表 1-3 1~15 HR 
ss 列 
行 
0 3 2 3 4 
0 0 6 12 3 9 
10 1 z 13 4 
2 5 11 2 8 14 

















现在 就 可 处 理 15 以 内 的 数 了 。 
例如 求 12X13 mod 15, 因 12 和 13 所 在 的 行 号 分 别 是 0 和 1,12 和 13 所 在 的 列 号 分 
别 是 2 和 3, 由 0X1l=0mod3,2X3=1mod5 得 12X13 mod 15 所 在 的 列 号 和 行 号 分 别 
为 0 和 1, 这 个 位 置 上 的 数 是 6, 所 以 得 12X13=6 mod 15。 又 因 0+1=1 mod 3 ,2 十 3 三 
13 
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0 mod 5.4% 1 47.58 0 HH 10, fF LA 12+13=10 mod 15。 
以 上 两 例 是 中 国 剩余 定理 的 直观 应 用 .下面 具体 介绍 定理 的 内 容 。 
中 国 剩余 定理 最 早 见 于 (孙子 算 经 》 的 * 物 不 知 数 ? 问 题 : 今 有 物 不 知 其 数 ,三 三 数 之 
有 二 ,五 五 数 之 有 三 ,七 七 数 之 有 二 , 问 物 有 和 多少? 
这 一 问题 用 方程 组 表示 为 
x = 2 mod 3 
x= 3 mod 5 
x= 2 mod 7 
下 面 给 出 解 的 构造 过 程 。 首 先 将 3 个 余数 写成 和 式 的 形式 ， 
2 十 3 十 2 
为 满足 第 一 个 方程 , 即 模 3 后 ,后 两 项 消失 ,给 后 两 项 各 乘 以 3, 得 
2 十 3X3 十 2X3 
为 满足 第 二 个 方程 , 即 模 5 后 ,第 一 、 三 项 消失 ,给 第 一 、 三 项 各 乘 以 5, 得 
2Xx5 二 3X3 十 2X3X5 





同 理 给 前 两 项 各 乘 以 7, 得 





2X5X7+3X3X7+2X3X5 
然而 ,将 结果 带 入 第 一 个 方程 ,得 到 2X5X7, 为 消去 5X7, 将 结果 的 第 一 项 再 乘 以 
(5X7)! mod 3, 得 2X5X7X(5X7)-! mod 3 十 3X3X7 十 2X3X5。 类 似 地 ,将 第 二 项 
乘 以 (3X7)-! mod 5, 第 三 项 乘 以 (3X5)-! mod 7, 得 结果 为 
2X5X7X (5X7)! mod 3+3 X 3X7 X (3 X 7) mod 
5 十 2X3X5X(3X5)- mod 7 = 233 
MAW 233-+kX3X5X7=233+ 105k(k 为 任 一 整数 ) 都 满足 方程 组 ,可 取 & 一 一 2， 
得 到 小 于 105( 二 3X5X7) 的 唯一 解 23, 所 以 方程 组 的 唯一 解构 造 如 下 : 
[2XxX5Xx7x(5X7) mod 3+3X3X7Xx(3X7) mod 
5 十 2X3X5X(3X5)-mod7]mod(3X5X7) 
把 这 种 构造 法 推广 到 一 般 形式 ,就 是 如 下 的 中 国 剩余 定理 。 


定理 1-8( 中 国 剩余 定理 ) 设 mi ,ms，… ,m4 是 两 两 互 素 的 正 整 数 , M 一 [wm, 则 


一 次 同 余 方 程 组 
a, mod m, =x 
az mod m, = x 
a, mod m = x 
对 模 M 有 唯一 解 : 





tE (Mea + M ia qpe Mea) mod M 
mı m2 my, 


Hp e; wee =1 mod mi(i=1,2,",k)。 
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证 明 BM, = MT] = 1.2.0 es 由 Mi 的 定义 得 Mi 与 mi 是 互 素 的 ,可 知 


M, TER m, 下 有 唯一 的 乘法 逆 元 , 即 满足 当 。, 三 1 mod mi 的 ec, 是 唯一 的 。 


下 面 证 明 对 Vi€E {1,2,…,k) EX x WE a; mod m; 三 x+。 注意 到 当 j 关 i 时 ,m;|M,， 
即 M;=0 mod m;。 所 以 
(M; X e; mod m;) mod m; 
= ((M; mod m;) X ((e; mod m;)mod m;)) mod m; 
=0 
而 
(M; X Ce; mod m;)) mod m; = (M; X e;) mod m; = 1 
所 以 x mod m;=a; B] a; mod mj 二 x。 
下 面 证 明 方程 组 的 解 是 唯一 的 。 设 x 是 方程 组 的 男 一 解 , 即 
ax’ =a;modm, (i = 1,2,",k) 
由 =a; mod m; 得 x —x=0 mod m; B m;|(a’—x). TARY m; 两 两 互 素 , 有 M|(x 一 
x), Bl x’ —x=0 mod M, 所 以 zmod M=<x mod d, 
(定理 1-8 证 毕 ) 


中 国 剩余 定理 提供 了 一 个 非常 有 用 的 特性 ， 即 在 模 M| M 一 Im] 下 可 将 大 数 A 由 
一 组 小 数 (a ,az ,…,ax) 表达 , 且 大 数 的 运算 可 通过 小 数 实现 。 表 示 为 


AS? (ay saz," sa) 
其 中 a; =A mod m;(i=1,2.°.k) WAL HEI. 
推论 ”如果 
Ac->(alyaz，…akt)， Berd, 0 ,b) 
那么 
(A+B) mod Me((a, +6,) mod m .***5 (a, +) mod m,) 
(A — B) mod Moe((a — 6;) mod m s**t. (a, — b) mod m,) 
(A X B) mod M* (Ca; X bı) mod mı (ao X bg) mod m) 
证 明 : 可 由 模 运 算 的 性 质 直接 得 出 。 
【 例 1-16 续 】 表 1-3 的 构造 。 
设 1 三 x 三 15, 求 a=x mod 3.b=x mod 5.4 x HAKH a 行列 。 表 建立 完成 后 ， 
数 工 可 由 它 的 行 号 a 和 列 号 0 按 中 国 剩余 定理 恢复 : 
x =[a X 5 X (57 mod 3) +b X 3 X (37 mod 5)] mod 15 
=[a*5X*2+6X3X 2] mod 15 
=[ 10a + 66] mod 15 
例如 ,12 mod 3=0,12 mod 5=2;13 mod 3=1,13 mod 5 三 3。 所 以 12 位 于 表 中 第 
0 行 .第 2 列 ,13 位 于 表 中 第 1 行 . 第 3 列 。 反 之 , 若 求 表 中 第 0 行 .第 2 列 的 数 ,将 we 一 0， 
b=2 带 入 r=(10a+6b) mod 15, 得 xz 一 12。 
15 
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BARK x TS a 和 列 号 0, 可 将 工 表 示 为 Ca,0)。z 的 运算 用 (a,5) 实 现 。 设 二 
Caibi) ,Ts = (az +b), W) zı +x = (a, Haz sbi Hb), x, Xx: = (a Xas,b Xb),. PAM 
12=(0,2),13=(1,3), 12+13=(0, 2)+(1, 3)=(1, 0), 12X13=(0, 2)X(1,3)= 
(0, 1), 所 以 12+13 为 10,12X13 为 6。 

【 例 1-17) 由 以 下 方程 组 求 x: 


x= l mod 2 
x = 2 mod 3 
x= 3 mod 5 
x= 5 mod 7 














解 : M=2X3X5X7=210,M, =105,M: =70,M; =42,M, =30, AK 
e, =M;' mod 2=1 e, = M;' mod 3=1 
e, = M;' mod 5 =1 e, = Mī’ mod 7 = 4 
所 以 
x mod 210 =(105 X1X14+70X1xX2442x*3X3+430X4X 5) mod 210 
=173 
或 写成 
x = 173 mod 210 
【 例 1-18] 为 将 973 mod 1813 由 模 数 分 别 为 37 和 49 的 两 个 数 表示 ,可 取 
x=973, M= 1813, m =37, m, = 49 
FH a, =973 mod m,=11.a,=973 mod m =42 4 x TERE 37 和 模 49 下 的 表达 为 (11,42) 。 
若 要 求 973 mod 1813+678 mod 1813 ,可 先 求 出 
678>(678 mod 37.678 mod 49) = (12.41) 
从 而 可 将 以 上 加 法 表达 为 ((11 十 12) mod 37,(42+41) mod 49) 一 (23,34) 。 


118 离散 对 数 


1. 指标 

首先 回忆 一 下 一 般 对 数 的 概念 ,指数 函数 y= a" (ea 二 0,a 天 1) 的 逆 函 数 称 为 以 a 为 底 
x 的 对 数 , 记 为 y= 二 logsx 。 对 数 函 数 有 以 下 性 质 : 

logal = 0, loga = 1, log.zy = logar tlogsy, logar” = ylogsx 

在 模 运 算 中 也 有 类 似 的 函数 。 设 p 是 素数 ,a 是 p 的 本 原 根 , 则 ara? sat E h 
1 到 p 一 1 之 间 的 所 有 值 , 且 每 一 值 只 出 现 一 次 。 因 此 对 任意 5E {1,2,…,p 一 1) ,都 存在 
WE— HY i11<i<p—1), fife ba mod p。 称 i 为 模 p 下 以 a 为 底 b 的 指标 , 记 为 i= 
inda, (5b)。 指 标 有 以 下 性 质 : 

A) inds,s (1)=0。 

(2) inds,s (a)=1。 

这 两 个 性 质 分 别 由 以 下 关系 可 得 : a mod p=1 mod p=1,a' mod p=a. 

以 上 假定 模 数 p 是 素数 ,对 于 非 素 数 也 有 类 似 结论 ,看 下 例 。 

[B 1-19] 设 p=9;.; 则 yg(p)==6.a==2 Æ p 的 一 个 本 原 根 ,a 的 不 同 的 宕 为 ( 模 9 下 ) 
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2=1, 2? =2, 2=4, 2=8, 2=7, 2=5, BH 1 
由 此 可 得 a 的 指数 表 如 表 1-4(a) 所 示 。 
表 1-4 指数 和 指标 举例 














(a) 模 9 下 2 的 指数 表 (b) 与 9 互 素 的 数 的 指标 
指标 | 0 1 2 3 4 5 数 1 2 4 5 7 8 
指数 | 1 2 4 8 7 5 指标 | 0 1 2 5 4 3 












































重新 排列 表 1-4(a) ,可 求 每 一 与 9 互 素 的 数 的 指标 如 表 1-4(b) 所 示 。 

在 讨论 指标 的 另外 两 个 性 质 时 ,需要 如 下 定理 。 

定理 1-9 若 a*=a‘' mod p, 其 中 pp 为 素数 ,a 是 p 的 本 原 根 , 则 有 z= mod glp). 

证 明 : Aa lp BR. a 在 模 p FEE a ,在 at =a‘ mod p 两 边 同 乘 以 
Ca) ,得 os *=1 mod p。 因 a 是 p 的 本 原 根 ,a 的 阶 为 pg(p), 所 以 存在 一 整数 ,使 得 
z 一 g 三 kp(p), 所 以 z=q mod (p). 

(定理 1-9 证 毕 ) 

由 定理 1-9 可 得 指标 的 以 下 两 个 性 质 : 

(3) inda, (xy) =[Lind.,,(2) +ind.,,(y)] mod (p). 

(4) inds,p (y) =[rX ind,,,y) ] mod g(p) 。 

iE AR: 

(3) 设 r=Ea "w mod p, y=a™ mod psxry=aie™ mod p, FH RIS FF AY PE AE 

ase” mod p = (a0 mod p) (aime mod p) = (a™ap PH) mod p 
所 以 
inds,p (zy) = [Linds,s (x) + ind,,,(y) ] mod gp) 
性 质 (4) 是 性 质 (3) 的 推广 。 
从 指标 的 以 上 性 质 可 见 , 指 标 与 对 数 的 概念 极为 相似 ,将 指标 称 为 离散 对 数 ,如 下 所 述 。 


2. 离散 对 数 

设 p 是 素数 ,a 是 p 的 本 原 根 , 即 al ,a?,…,a?* :在 模 户 下 产生 1 到 p—1 的 所 有 值 ， 
所 以 对 VbE {1,2,…,p 一 1), 有 了 唯一 的 i€E {11,2,…,p 一 1) 使 得 5 二 a’ mod po HK i HK 
p 下 以 a HRO 的 离散 对 数 , 记 为 i 三 logsb mod p, 

当 a、p\i 已 知 时 ,用 快速 指数 算法 可 比较 容易 地 求 出 5, 但 如 果 已 知 a.b 和 zp, 求 i 则 
非常 困难 。 目 前 已 知 的 最 快 的 求 离散 对 数 算法 其 时 间 复 杂 度 为 

O(exp( (np)? In(in))*) 

所 以 当 p 很 大 时 ,该 算法 也 是 不 可 行 的 。 


1.19 二 次 剩余 
设 是正 整数 ,a 是 整数 ,满足 (4a.n) 二 1, 称 a 是 模 n 的 二 次 剩余 ,如 果 方 程 


x’ =a modn 


mm pT 


有 解 。 否 则 称 为 二 次 非 剩 余 。 
【 例 1-20] 2?=1 mod 7 有 解 : zx 一 1,z 一 6。 
XZ: 三 2 mod 7 有 解 : zx 一 3,z 一 4。 
x’ =3 mod 7 无 解 。 
z’=4 mod 7 有 解 : zx 一 2,z 一 5。 
22=5 mod 7 无 解 。 
zx’=6 mod 7 无 解 。 
可 见 1、2、4 共有 3 个 数 是 模 7 的 二 次 剩余 , 且 每 个 二 次 剩余 都 有 两 个 平方 根 ( 即 例 中 
Wa). 
容易 证 明 , 若 p 是 素数 , 则 模 p 的 二 次 剩余 的 个 数 为 (p 一 1)/2, 且 与 模 p 的 二 次 非 剩 
余 的 个 数 相 等 。 如 果 a ER p 的 一 个 二 次 剩余 ,那么 a 恰 有 两 个 平方 根 ,一 个 在 0 到 
(p 一 1)/2 之 间 , 另 一 个 在 (p 一 1)/2 十 1 到 p 一 1 之 间 , 且 这 两 个 平方 根 中 的 一 个 也 是 一 个 
模 二 次 剩余 。 


定义 1-6 i p BKK 是 整数 ,符号 | 全 ] 的 定义 如 下 ， 
0， MR a Kp 整除 
Gat 


WR a ER p 的 平方 剩余 
一 1 WR a 是 模 p 的 非 平 方 剩余 
称 符号 (人 为 Legendre 符号 。 
aa (7)=(F)=(7)-4(F)-(7)-(7) 
计算 ( 各] 有 一 个 简单 公式 : [全 ceo2 mod p. 
【 例 1-22】 p=23,a=5.a?” mod p=5" mod p 二 一 1, 所 以 5 不 是 模 23 的 二 次 剩 























= 
o 


Legendre 符号 有 以 下 性 质 。 
定理 1-10 设 p 是 奇 素数 ,a Mh 都 不 能 被 bp 除 尽 , 则 


(1) # a=b mod psn )=(4). 


o (BE 
@ (#)-1. 
maa 


以 下 定义 的 Jacobi 符号 是 Legendre 符号 的 推广 。 
定义 1-7 Wn EER. A n= pir ppt ,定义 Jacobi 符号 为 


FRETET 
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其 中 右 端 的 符号 是 Legendre 符号 。 
当 n HRZ , Jacobi 符号 就 是 Legendre 符号 。 
Jacobi 符号 有 以 下 性 质 。 
定理 1-11 设 n 是 正 合 数 ,a 和 2 是 与 2 互 素 的 整数 , 则 


(1) 若 a=b mod niin <)=(2). 
o (8-8) 
o (E) 


对 一 些 特殊 的 a Jacobi 符号 可 如 下 计算 : 


G)-» G)-co*. G-cv* 


定理 1-12(Jacobi 符号 的 互 反 律 ) mn 均 为 大 于 2 的 奇数 , 则 


Denni] 
momenta AS) aG E 


以 上 性 质 表 明 : 为 了 计算 Jacobi 符号 (包括 Legendre 符号 作为 它 的 特殊 情形 ) ,并 不 
需要 求 素 因子 分 解 式 。 例 如 105 虽然 不 是 素数 ,在 计算 Legendre 符号 | 让 ? ) 时 ,可 以 先 
把 它 看 作 Jacobi 符号 来 计算 ,由 上 述 两 个 定理 得 

105 317 2 
(党 )- (ios)= (在 )=-: 
teita (2 it RA AE TT m mod n (A m TE EAER ws (2) 


Wn. 
可 见 , 引 入 Jacobi 符号 对 计算 Legendre 符号 是 十 分 方便 的 ,但 应 强调 指出 Jacobi 符 


号 和 Legendre 符号 的 本 质 差别 是 ; Jacobi na(s JERRI Ea =a mod n 是否 有 解 。 
比如 n= pi pza KF pi 和 ps 都 不 是 二 次 剩余 , 即 x? =a mod p, fil x’ =a mod p: 都 无 


ft oh BL ARE =a mod 也 无 解 。 但 是 ,由 于 [大 ]== (2) —=—1. 5 (2) 


(4)(4)=1. 即 2?=a mod n 虽 无 解 . 但 Jacobi 符号 [人 Ja» 1. 


[B 1-23] 考虑 方程 x’? =2 mod 3599, 由 于 3599 二 59X61, 所 以 方程 等 价 于 方程 组 
x’ = 2 mod 59 
ie = 2 mod 61 















































35997-1 


由 于 (车 )- 一 1, 所 以 方程 组 无 解 ， (8 Jacobi #6 (5255 )= E = 
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1.1.10 循环 群 


定理 1-13(Lagarange 定理 ) 有 限 群 G 的 任意 子 群英 的 阶 整 除 群 的 阶 , 即 |H|||G | 。 

证 明 要 用 到 正规 子 群 及 陪 集 的 概念 , 略 去 。 

定理 1-14 ”循环 群 的 子 群 是 循环 群 。 

证 明 : 设 耳 是 循环 群 G 二 {gi'|i 二 1,2,3,…} 的 子 群 ,k 是 使 得 g*€ HH 的 最 小 正 整数 。 
MfE— a=giCH .* i=qk+r(0<r<k). WW g= (g yg" g =g (g*) EH. AU 
r=0, RM5 k 的 最 小 性 矛盾 。 所 以 g = (e) H Eh g* 生成 的 循环 子 群 。 

(定理 1-14 证 毕 ) 
定理 1-15 iG 是 n 阶 有 限 群 ,a 是 G 中 任 一 元 素 , 有 a"=e. 

证 明 : H= {esasa sa y} HEP r a 的 阶 , 易 证 (再 ,。) 是 (G ,，。) 的 子 群 ,由 
Lagarange 定理 , |H | | |G | ,rln, 存 在 正 整 数 1, 使 得 n==rt。 所 以 a"=(a")'=e. 

(定理 1-15 证 毕 ) 
定理 1-16 素数 阶 的 群 是 循环 群 , 且 任 一 与 单位 元 不 同 的 元 素 是 生成 元 。 

证 明 : CG, + ) R.A |G|=plp 为 素数 )。 任 取 a€G,a 关 ee, 构造 H= 
{esasa s+}, AAA ÆG WYRE Cl EE 1-15). | H| =n. W n1. HH Lagarange 定 
Honlp. TW n=p,.H=GC. MUG 是 循环 群 ,a 是 生成 元 。 

(定理 1-16 证 毕 ) 


定理 1-17 ia’ 是 nn 阶 循 环 群 G==(a) 中 的 任 一 元 素 ,d==(n,7)。 MB Aord,(a") =". 
证 明 : HH d=(ner).d|n Hd|\r. 8 n=dq,r=dg, HP q =F Hn =F Ans 


q@=1. 








HE. (aI = (ate Jt Sav" =(a")” =e% =e, Bord, (a) =k, I k Fe 











其 次 ,由 (a")*==e, 可 得 n|rk, 两 边 同 除 以 atii ke 





r n r yn 
Fe ta( 3,2) 1 pres 





所 以 k= ord, (a") =", 

(定理 1-17 证 毕 ) 
定理 1-18 n GPRM REG = (a) Poa” 是 生成 元 当 且 仅 当 (r,z) 一 1。 
证 明 : Bord, Ha’ EA MMIC. MA ord, (er" ) 王 2。 但 由 定理 1-17,ord, (a) = 


3 LAT 一 2yd 一 1, 即 (2,>) 一 1。 反 之 若 4 一 (2r) 一 1, 则 ord。 w) =i Sna 是 生 
成 元 。 





GEM 1-18 证 毕 ) 
1.111 循环 群 的 选取 


在 实际 应 用 中 经 常 需要 使 用 群生 成 算法 产生 一 系列 循环 群 , 群 的 描述 包括 一 个 有 限 
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ms l 一 些 基本 概念 和 工具 om 


的 循环 群 G URG 的 素数 阶 的 子 群 G G 的 生成 元 gG 的 阶 qH TCG ,G ,g ,gj 表示 群 
的 描述 ,其 上 的 运算 如 下 : 

。 乘法 运算 。 为 确定 性 的 多 项 式 时 间 算 法 ,输入 FIG ,G ,g,gj] 及 ,hs€G, 输 出 
hi* hEG., 
求 逆 运 算 。 为 确定 性 的 多 项 式 时 间 算 法 ,输入 T[G ,G ,g,gj] 及 hEG, 输 出 
hES, 
子 群 判定 运算 。 为 确定 性 的 多 项 式 时 间 算 法 ,输入 T[G,G ,g,gj 及 hEG, 判 断 
是 否 hEG 。 
求生 成 元 及 子 群 的 阶 。 为 确定 性 的 多 项 式 时 间 算 法 ,输入 FLG ,G ,g,qj, 输 出 
g filq. 

有 些 群 不 存在 求 子 群 的 阶 的 多 项 式 时 间 算 法 ,比如 对 合 数 的 群 Z; o 

实际 应 用 中 ,经 常 使 用 的 循环 群 有 以 下 几 类 。 

DRALL ) 是 安全 参数 的 多 项 式 有 界 的 整数 函数 ,满足 I< <h 
( ),TLG ,G ,g,qj 由 三 元 组 (g,p,g ) 表 示 , 其 中 : 

。 4 是 一 个 4( ) 比 特长 的 随机 素数 。 

。p 是 一 个 l;( ) 比 特长 的 随机 素数 ,满足 p=1 mod g。 

。g 是 G 的 随机 生成 元 。 
其 含义 为 循环 群 G =Z; ,G 是 人 @ 的 阶 为 gq 的 唯一 子 群 。 

Zp 中 的 元 素 能 用 A, ) 长 的 比特 串 表示 ,其 上 的 元 素 乘 法 运算 可 用 模 p 乘法 运算 ， 
求 道 运 算 可 使 用 推广 的 欧 几 里 得 算法 ,可 通过 判断 a 三 1 mod p 是 否 成 立 判 断 元 素 a mod 
DEZ; 是 否 属于 子 群 G 。 


G 的 随机 生成 元 g 可 如 下 产生 : 产生 Zp 的 随机 元 素 , 求 它 的 刀 次 等 ,如 果 求 宕 后 


得 到 1 mod p, 则 重新 选取 Z; 的 另 一 随机 元 素 , 重 复 上 述 过 程 。 

(2) 除了 pp 三 2g 十 1, 其 余 参 数 与 (1) 的 群 相同 ,此 时 关于 Z; g 阶 子 群 G 有 以 下 
结论 。 

定理 1-19 4 p=2q+1 时 ,Z; 的 g 阶 子 群 G 是 二 次 剩余 类 子 群 ( 即 其 所 有 元 素 都 是 
二 次 剩余 ) 。 

证 明 : 若 g #Z; 的 生成 元 ,对 任 一 cEG ,存在 整数 i, 使 得 a=gi mod pe MA at= 


1 所 以 g* 一 g 寺 一 1, 所 以 p 一 1 112,i 一定 是 偶数 , 即 a 是 二 次 剩余 。 
(定理 1-19 证 毕 ) 
因为 计算 Legendre 符号 (各) 比 求 模 指数 运算 a 二 1 mod p 容易 ,所 以 可 通过 判断 











( 生 ) 是 否 等 于 1 判断 元 素 a mod pEZ; 是 否 属于 子 群 G 。 
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11.12 双 线 性 映射 


设 g 是 一 个 大 素数 ,G, 和 Gs 是 两 个 阶 为 g 的 群 ,其 上 的 运算 分 别称 为 加 法 和 乘法 。 
G1 到 Gs 的 双 线 性 映射 :G1 XG 一 Gs, 满足 下 面 的 性 质 : 

(1) 双 线 性 。 如 果 对 任意 P.Q,REG Ma, bEZ, A êlaP, bQ) =ê (P,Q)* ,或 ECP+Q， 
R)=2e(P.R) © 2(Q,R) All @(P.Q+R) =2(P.Q) + èP, R) ,那么 就 称 该 映射 为 双 线性 
映射 。 

(2) 非 退 化 性 。 映 射 不 把 G, X Gi 中 的 所 有 元 素 对 ( 即 序 偶 ) 映 射 到 Gs, 中 的 单位 元 。 
HFG, 、G: 都 是 阶 为 素数 的 群 ,这 意味 着 : 如 果 尸 是 G, 的 生成 元 ,那么 ECP,P) 就 是 G* 的 
生成 元 。 

(3) 可 计算 性 。 对 任意 的 P,QE Gi ,存在 一 个 有 效 算法 计算 2(P,Q)。 

Weil 配对 和 Tate 配对 是 满足 上 述 3 条 性 质 的 双 线 性 映射 。 

另 一 类 双 线 性 映射 形 如 2: Gi XG2> Gr HG, GAG MER DH q 的 群 ,Gs 到 
G1 有 一 个 同 态 映 射 y: GG WE gle) Sg HEP g 和 gs 分 别 是 G, 和 Gs 上 的 固定 
生成 元 。G1 中 的 元 素 可 用 较 短 的 形式 表达 ,因此 在 构造 签名 方案 时 ,把 签名 取 为 Gi 中 的 
元 素 ,可 得 短 的 签名 。 在 构造 加 密 方案 时 ,把 密 文 取 为 G, 中 的 元 素 , 可 得 短 的 密 文 。 


12 weer 





对 一 个 密码 系统 来 说 ,应 要 求 在 密 钥 已 知 的 情况 下 .加密 算法 和 解密 算法 是 “容易 
的 ”, 而 在 未 知 密 钥 的 情况 下 ,推导 出 密 钥 和 明文 是 “困难 的 ”。 那 么 如 何 描述 一 个 计算 问 
题 是 “容易 的 ”还 是 “困难 的 ”? 可 用 解决 这 个 问题 的 算法 的 计算 时 间 和 存储 空间 来 描述 。 
算法 的 计算 时 间 和 存储 空间 (分 别称 为 算法 的 时 间 复 杂 度 和 空间 复杂 度 ) 定 义 为 算法 输入 
数据 的 长 度 n 的 函数 fn)。 当 nn 很 大 时 ,通常 只 关心 f(n) 随 着 的 无 限 增 大 是 如 何 变 
化 的 , 即 算法 的 渐 近 效率 。 渐 近 效率 通常 使 用 以 下 几 种 表示 方法 。 
1. 0125 
O 记 号 给 出 的 是 Fo) 的 渐 近 上 界 。 如 果 存 在 常数 C AN, 4 n>N IY, f(r) <Cg(n), 
则 记 fOd=O(g@)). HU O 记 号 给 出 的 是 Fo) 在 一 个 常数 因子 内 的 上 界 。 
例如 , fn) =8n +10, W 4 n>N=10 WY. f(r) <9n SHV f(n) 二 O(n)。 
— fi fn) =a tan +s tan" W) f(n) 二 O(n )。 
ERERKEN TSO), MRAR IK AZ SK lal AY 5 BH T=O(R™ ) ,其 
中 是 常数 ,f(n) 是 多 项 式 , 就 称 该 算法 是 指数 时 间 的 。 
2.0 记 号 
8 记号 给 出 的 是 Foz) 的 渐 近 下 界 。 如 果 存 在 常数 C PIN H n> N AY .0<Cg GQ) < 
fr) Wid f(D) 二 Q(g(n))。 所 以 0 记号 给 出 的 是 f(n) 在 一 个 常数 因子 内 的 下 界 。 
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3.0 记 号 

O 记号 给 出 的 渐 近 上 界 可 能 是 渐 近 紧 确 的 ,也 可 能 不 是 。 比 如 2 好 二 O( 妈 2) 是 渐 近 紧 
确 的 ,但 2n=OGr ) 却 不 是 。o 记号 给 出 的 是 jz) 的 非 渐 近 紧 确 的 上 界 。 如 果 对 任意 常 
数 C, 存 在 常数 N.Y n>N A .0< FO) <Cg(n) ME f(D)=o(g(n))。 

例如 2n=0(n’ ),2n°Ao(n’). 

HEMER. Eo RRP., 4n BFA. f(z) 相 对 于 g(n) 来 说 就 不 重要 了 , 即 
mi 
n>æg(n) a 

4.w 记 号 

w 记 号 与 Q 记号 的 关系 就 好 像 。 记号 与 O 记号 的 关系 一 样 , 它 给 出 的 是 f(n) 的 非 渐 
近 紧 确 的 下 界 。 如 果 对 任意 常数 C, 存 在 常数 N, 当 二 N H, OS Cga) Sf (mn), Wid 
f=w(g(n) )。 





2 2 
fA an) «Awa? Dis 


直观 上 看 ,在 w 表 示 中 , 当 ) 趋 于 无 穷 时 , FO) HF g(n) 来 说 变 得 任意 大 了 ， 


eC) 
Alien Gai) = 


定义 1-8 字母 表 了 是 一 个 有 限 的 符号 集合 ,三 上 的 请 言 志 是 三 上 的 符号 构成 的 符 
号 串 的 集合 。 

一 个 图 灵机 M 接受 一 个 语言 L 表示 为 zxEL 今 MCz) 一 1, 这 里 简单 地 用 1 来 表示 
接受 。 
有 两 种 类 型 的 计算 性 问题 是 比较 重要 的 。 第 一 种 是 可 以 在 多 项 式 时 间 内 判定 的 语言 
集合 ,表示 为 P。 正 式 地 说 ,xEL, 当 且 仅 当 存 在 图 灵机 在 最 多 p(|zx|)(p 为 某 个 多 项 
hoa 是 图 灵机 的 输入 串 ,|z| 表 示 z 的 长 度 ) 步 内 接受 一 个 输入 zx 我们 就 说 语言 工 在 P 
中 。 第 二 种 是 NP 类 语言 ,NP 问题 是 指 可 在 多 项 式 时 间 内 验证 它 的 一 个 解 的 问题 , 即 对 
语言 中 的 元 素 存 在 多 项 式 时 间 的 图 灵机 可 验证 该 元 素 是 否 属于 该 语言 。 正 式 地 说 ,如 果 
存在 一 个 多 项 式 图 灵机 M,xEL, 当 且 仅 当 存 在 一 个 串 w. 使 得 M (row, ) 一 1 我们 就 说 
语言 工 在 NP 中 。ex 称 为 x 的 证 据 , 用 于 证 明 zxEL。 

可 在 多 项 式 时 间 内 求解 就 一 定 可 在 多 项 式 时 间 内 验证 。 但 反 过 来 不 成 立 , 因 为 求解 
比 验证 解 更 为 困难 。 用 了 表示 所 有 了 问题 的 集合 ,NP 表示 所 有 NP 问题 的 集合 , 则 有 
PCNP。 在 NP 类 中 ,有 一 部 分 可 以 证 明 比 其 他 问题 困难 ,这 一 部 分 问题 称 为 NPC 问题 。 
也 就 是 说 ,NPC 问题 是 NP 类 中 “最 难 ” 的 问题 。 

定义 1-9 一 个 函数 : R~[0,1] 是 可 忽略 的 , 当 且 仅 当 对 于 Yec>0, 存 在 一 个 N.> 
0, 使 得 对 于 VN>N. 有 C(N)<1/Ne。 

直观 上 看 ，(。 ) 是 可 忽略 的 , 当 且 仅 当 它 的 增长 速度 比 任何 多 项 式 的 道 更 慢 。 一 个 
常见 的 例子 是 道 指数 (&) 一 2 一。 对 于 任意 的 c,2 S0). 

称 一 个 机 器 是 概率 多 项 式 时 间 的 ,如 果 它 的 运行 步 数 是 安全 参数 的 多 项 式 函 数 , 简 记 
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H PPT, 
定义 1-10 设 一 {Xe} 和 一 {Ye} 是 两 个 分 布 总 体 , 其 中 Xe ALY, 是 同一 空间 上 的 分 


布 ( 对 于 所 有 的 &)。 和 是 计算 上 不 可 区 分 的 ( 记 为 = ) ,如 果 对 于 所 有 PPT 敌手 ,下 
式 是 可 忽略 的 ， 
|Prfz<eX.3 (x) =1]—Pr[y<rYi; (y) =1]| 
对 上 式 中 的 一 些 符号 说 明 如 下 : 如 果 S 是 集合 , 则 zkS 表示 从 S 中 均匀 随机 地 选取 元 
Ka. WR AC ) 是 随机 化 算法 , 则 z<A(。) 表 示 运 行 A(。)( 输 入 是 均匀 随机 的 ) 得 
到 输出 zx。z 王 上 (。) 表 示 将 fO ) 的 值 赋值 给 xz。 概率 表达 式 中 (zx) 二 1 表示 判断 
(zx) 是 否 为 1。 
断言 1-1 如 果 三 和 三 则 = 三。 
证 明 : 证 明基 于 三 角 不 等 式 ( 即 对 于 任意 的 实数 a.b、c WA |a—c |< |a—b| + 
15 一 c| ) 和 两 个 可 忽略 函数 之 和 仍然 是 可 忽略 的 事实 。 
(断言 1-1 证 毕 ) 
可 以 将 该 断言 扩展 如 下 。 
断言 1-2( 计 算 上 不 可 区 分 的 传递 性 ) 给 定 多 项 式 个 分 布 ，，,,…，wo ,如 果 ,三 


m G=1,2. CE) —1) E ww。 
证 明 : 证 明 再 次 基于 三 角 不 等 式 以 及 多 项 式 个 可 忽略 函数 之 和 仍然 是 可 忽略 的 事实 。 
(断言 1-2 证 毕 ) 
但 如 果 分 布 的 个 数 是 超 多 项 式 个 ,该 断言 就 不 成 立 。 
设 = 二 {Xi} 和 一 {Y} 是 两 个 分 布 总 体 , 定 义 (Xi,Yi) 一 {(z,y):z<RXkiy<RY) 及 
( ，) 为 分 布 总 体 {(Xe ,Ye) )。 
断言 1-3( 计 算 上 不 可 区 分 的 混合 论证 ) 设 ',*，!,，* 是 有 效 可 采样 的 ?分布 , 满 
28.25", a Hs 
证 明 : 设 是 一 个 区 分 ( :，?)( :，?) 的 任意 PPT 敌手 ,构造 一 个 区 分 :和 :的 
PPT 敌手 ,如 下 : 
_1(2): 
x<RX} 
输出 (2.2) 
显然 ，, 也 是 PPT 的 。 因 为 E !, 所 以 存在 一 个 可 忽略 的 量 , ,使 得 
|Pr[z<rX}: 1(z) =1]—Pr[z<rY}: 1(z)= 1]| 
= | Pr[z <rX}32 RX}: (z,7) = 1]J—Pr[z<rYisz<rXi: (zx) =1]| 


|Pr[z eX} 3x2 RX: (21.22) =1]—Pr[ yi —erY¥} 322 rX: (yx2) = 1]| 


I I) 


OQ 一 个 分 布 秘 =={X) 是 有 效 可 采样 的 ,如 果 能 按照 分 布 X: 在 多 项 式 时 间 之 内 生成 一 个 元 素 。 
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最 后 一 行 只 是 将 变量 重 命名 。 
类 似 地 ,可 以 构造 一 个 区 分 “和 “的 PPT 敌手 ;如 下 : 
yrYl; 
输出 〈y,z) 
由 于 “三 “, 所 以 存在 另 一 个 可 忽略 的 量 , ,使 得 
| Pr z<pX?; (z) 一 r= Pr[z<RrYi: 2(z) = 1]| 
= |Pr[y <rYisz RXE: (yz) =1]—Pr[y<rYisz<rYi: (y,z) 一 1]| 





= |Pr[y RYE ;Zs <RXi: Cy 22) = t= Pri RY y <—RYi: (yyyz) = 1] | 
S2 
我 们 关心 的 是 怎样 区 分 ( DC D ,考虑 以 下 概率 差 ; 
| Pria <—RXi 302 RXE: (tia) = 1] 一 Pr[y <RYi ;yz < (my) 王 1] | 
= |Pr[z <RXi3;z RXE: (zz) 一 1] 一 Pr[m <erYisxe eX: (wz) 一 1] 
十 Pr[y RY ;rs <RXi: Wna) = LI Pr[% ARYL y2 RYE: (Moye) 一 1] | 


< |Pr[z rX} ix kX: (zs72) 一 1] 一 Pr[y RY} 522 RXi: (myzs) 一 1]| 





F |Pr[y RYE ;Ze <RXi: (yr 12) = 1]—Pr[m RY} ;ye <RrYi: (yn y2) = 1] | 
Sit: 
所 以 是 可 忽略 的 。 这 里 再 次 应 用 了 三 角 不 等 式 。 
(断言 1-3 证 毕 ) 
断言 1-3 之 所 以 称 为 “混合 论证 ”, 是 因为 在 证 明 构造 过 程 中 引入 了 "混合 ?分布 ( !， 
DEE, DSC, DAC, DSC, D, 


) 


def ——“* < 
已 知 ,定义 “二 {X 人 ,其 中 X 二 (Xi,… ,Xi) ,A(k) 是 一 个 多 项 式 。 如果 S= , 则 由 
1-3 XS e, 


1.3 陷 门 置换 





131 陷 门 置换 的 定义 


本 书 给 出 陷 门 置换 的 两 种 定义 。 第 一 种 是 正式 定义 ,通常 在 实际 中 使 用 。 第 二 种 定 
义 不 太 正式 ,但 更 简单 且 容 易 理解 。 一 般 来 讲 , 使 用 第 二 种 定义 的 安全 性 证 明 更 容易 被 修 
改 为 符合 第 一 种 定义 的 证 明 。 
定义 1-11 一 个 陷 门 置换 族 是 一 个 PPT 算法 元 组 (Gen,Sample,Eval,Invert) : 
(1) Gen(1 ) 是 一 个 概率 性 算法 ,输入 为 安全 参数 1 ,输出 为 (i,td), 其 中 i 是 定义 域 
D; 上 的 一 个 置换 f; 的 标号 ,td 是 允许 求 f; 逆 的 陷 门 信息 。 
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(2) Sample(1 ,i) 是 一 个 概率 性 算法 ,输入 i 由 Gen 产生 ,输出 为 zkD;。 

(3) Evald ,i,z) 是 一 个 确定 性 算法 ,输入 i 由 Gen Æ, rD; H Sampled ,i)7* 
生 , 输 出 为 yED;。 即 Evald .i. * ):D: >D; 是 D; 上 的 一 个 置换 。 

(4) Invert(1 ,(i,td),y) 是 一 个 确定 性 算法 ,输入 (i,td) 由 Gen 产生 ,yE D;。 输 出 
为 zED,。 

陷 门 置换 族 的 正确 性 要 求 : 对 所 有 的 ,(i,td) 一 Gen(1 ) 以 及 z<Sample(1 ,i)， 
Invert(1 ,(i,td),Eval(1 ,i,x))=x。 

Invert(1 , (i'td),。) 其 实 就 是 置换 f AYER fo). BA fF! 总 是 存在 的 ,但 不 
一 定 是 可 有 效 计 算 的 。 上 面 的 定义 说 ,已 知 陷 门 信息 td, 逆 置换 f7! 是 可 有 效 计算 的 。 

定义 中 的 1 表示 安全 参数 ,通常 安全 参数 越 大 ,得 到 的 方案 越 安全 。 为 了 表示 简便 ， 
下 面 直接 用 表示 安全 参数 。 

RSA 加 密 算 法 是 一 个 典型 的 陷 门 置换 。 

(1) Gen( ): 选取 两 个 随机 的 比特 素数 p 和 9g, 求 乘积 N= po。 计算 CN) 二 
(Pp 一 1)(g 一 1), 选 取 与 9g (N) 互 素 的 e, 计 算 d 使 得 ed =1 mod g(N). fii th 
((N,e),(N,d))( 上 面 定 义 中 的 i 对 应 于 (N,e) td 对 应 于 (N,d))。 域 Dn. 就 是 ZX (从 
这 可 以 看 到 安全 参数 的 作用 : 它 确 定 素数 p 和 g 的 长 度 , 直 接 影响 到 分 解 模 数 N 的 困 
难 性 ) 。 

(2) Sample( ,(N,e)): 从 Zi 中 选取 一 个 均匀 随机 的 元 素 。 

G) Eval( ,(N,e),zx): 其 中 xEZ8 ,输出 > 一 ze mod N。 

(4) Invert( ,，(N,d),y): 其 中 >EZN 输出 z= 二 y* mod N. 

这 里 Invert 实际 上 是 Eval 的 逆 运 算 。 因 此 ,RSA 是 一 个 陷 门 置换 得。 
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在 以 上 定义 中 ,没有 考虑 任何 “困难 性 ?或 “安全 性 ?的 概念 。 但 密码 学 中 的 陷 门 置换 
是 指 单 向 陷 门 置换 , 即 当 陷 门 信息 td 未 知 时 ,一 个 随机 陷 门 置换 的 求 逆 是 困难 的 。 正 式 
定义 如 下 。 
定义 1-12 一 个 陷 门 置 换 簇 (Gen,Sample,Eval,Invert) 是 单 向 的 ,如 果 对 于 任意 的 PPT 
敌手 ,存在 一 个 可 忽略 的 函数 ( ) ,使 得 在 下 面 的 游戏 中 ,其 优势 Advrpe, COS C): 
Exprpem, ( ): 
(i td) Gen( ); 
y < Sample( ,i); 
we ( stoy)s 
如 果 Eval( vi-z)= y, 返 回 1; 否则 返回 0. 
敌手 的 优势 定义 为 
Advrpem, ( ) = Pr[Exprpem, ( )=1] 
从 现在 起 ,文中 所 提 及 的 “ 陷 门 置换 ” 均 指 * 单 向 陷 门 置换 族 ”。 
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以 上 定义 有 些 烦琐 ,为 此 引入 一 个 简化 定义 。 该 定义 不 在 实际 中 使 用 ,通常 在 安全 性 
证 明 中 使 用 。 定 义 中 假定 D= {0.1} ( 长 比特 串 集合 ) ,置换 直接 用 f 表示 ,而 不 再 用 
(i,td) 表 示 , 逆 置换 直接 用 广 : 表 示 。 

定义 1-13 一 个 陷 门 置换 族 是 一 个 PPT 算法 元 组 (Gen, Eval, Invert), 

A) Gen( ): 输入 为 安全 参数 ,输出 (f,f"!'), 其 中 了 是 一 个 {0,1} 上 的 置换 。 

(2) Eval( fsx): 是 一 个 确定 性 算法 ,其 中 了 由 Gen( ) 产 生 ,x€10,1) ,输出 y€ 
{0,1} 。 通 常 简 记 为 f(r). 

(3) Invert( ， 广 :,y): 是 一 个 确定 性 算法 ,其 中 广 :由 Gent ) 产 生 ,yE (0,1) , 输 
出 zE{0,1} 。 通 常 简 记 为 f(y). 

(4) 正确 性 。 对 于 任意 ,Gen WE— HHA), RHE zE (0.1) ,都 有 
JOa) =r. 

(5) 单 向 性 。 对 于 任意 的 PPT 敌手 ,存在 一 个 可 忽略 的 函数 ( ) ,使 得 在 下 面 的 
游戏 中 ,其 优势 Advrpems, ( )S €): 

Exprpem, ( ): 
(f.f") 一 Gen( ); 
yo {0,1} ; 
x- ( sfoy)s 
如 果 f(r) = y, 返 回 1; 否则 返回 0. 
Advrpem，( ) 的 定义 与 1. 3. 2 节 相 同 。 


1.4 零 知 识 证 明 





141 交互 证 明 系 统 


交互 证 明 系 统 由 两 方 参与 ,分 别称 为 证 明 者 (Prover, 简 记 为 ) 和 验证 者 (Verifier, 简 
记 为 ) ,其 中 知道 某 一 秘密 (如 公 钥 密码 体制 的 秘密 钥 或 一 个 二 次 剩余 zx 的 平方 根 )， 
希望 使 相信 自己 的 确 掌握 这 一 秘密 。 交 互 证 明 由 若干 轮 组 成 ,在 每 一 轮 ， 和 可 能 需 
根据 从 对 方 收 到 的 消息 和 自己 计算 的 某 个 结果 向 对 方 发 送 消息 。 比 较 典 型 的 方式 是 在 每 
轮 都 向 发 出 一 个 询问 ， 向 做 出 一 个 应 答 。 所 有 轮 执行 完 后 ， 根据 是 否 在 每 一 轮 
对 自己 发 出 的 询问 都 能 正确 应 答 ,决定 是 否 接受 的 证 明 。 

交互 证 明和 数学 证 明 的 区 别 是 : 数学 证 明 的 证 明 者 可 自己 独立 地 完成 证 明 , 相 当 于 
笔试 。 而 交互 证 明 是 由 ”一步 一 步 地 产生 证 明 ， 一 步 一 步 地 验证 证 明 的 有 效 性 来 实现 ， 
相当 于 口试 ,因此 双方 之 间 通 过 某 种 信道 的 通信 是 必需 的 。 

交互 证 明 系 统 需 满足 以 下 要 求 : 

(1) 完备 性 。 如 果 知道 某 一 秘密 ， 将 接受 的 证 明 。 
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(2) 可 靠 性 。 如 果 能 以 一 定 的 概率 使 相信 的 证 明 , 则 知道 相应 的 秘密 。 

下 面 两 个 例子 分 别 是 非 交 互 证 明 系 统 和 交互 证 明 系 统 , 用 来 考虑 图 之 间 的 同 构 关系 。 
WAG, AG, 是 同 构 的 是 指 从 G 的 顶点 集合 到 G 的 顶点 集合 之 间 存 在 一 个 一 一 映 
射 x, 当 且 仅 当 若 ry EG, 上 的 相 邻 点 ,x(x) 和 x(y) 是 G,。 上 的 相 邻 点 ,表示 为 GiG. 
同 构 关系 表示 为 ISO = {(G,.G,):G, XG: }. AE IA KK HK MA AW NISO= ((G,.G2): 
Gi G2}. 

【 例 1-24) 证 明 者 有 两 个 同 构 的 图 G H, mei A EW GSH. BMA G 的 顶点 集 到 
H 的 顶点 集 存 在 一 个 一 一 映射 ， 只 须 向 出 示 这 个 映射 。 例 如 ,图 1-1 是 两 个 同 构 的 图 ， 
G 的 顶点 集 到 的 顶点 集 的 映射 为 

m= {(1,5),(2,2),(3,1),(4,4), (5,3)} 


2 3 1 2 














4 5 3 4 
C H 


1-1 两 个 同 构 的 图 


【 例 1-25] APAE G.G. (CC )ENISO, 向 验证 者 证 明 。 
协议 如 下 : 
(1) 随机 选 o<-g{1,2} ,再 随机 选 G, 顶点 上 的 一 个 置换 x ,得 C= 二 x(G,)。 将 C 发送 


(2) 收 到 C 后 , 找 出 rE {1,2} ,使 得 G. 衬 C, 将 zt 发送 给 。 

(3) 判断 r 三 c, 若 相等 ， 接 受 的 证 明 。 

WE G，G: , 则 总 能 正确 地 区 分 2 (G,) Al CG) ,因此 能 正确 地 执行 步骤 (2) 。 如 果 
G&G: W) 不 能 区 分 x(G1) 和 (Gs), 因 此 只 能 随机 猜测 zt, 能 正确 执行 步骤 (2) 的 概率 为 
1/2 
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定义 1-14 称 ( ， ) (或 记 为 3 一 ( i ) ) 是 关于 语言 L、 安全 参数 的 交互 式 证 明 系 
统 , 如 果 满 足 

(1) 完备 性 。 VxEL,Pr[( ,，)[x]=1] 宇 1 一 ( )。 

(2) 可 靠 性 。Vz&L,V *,Pr[( *, )[x]=1]( )。 
其 中 ( ，)[zj] 表 示 当 系统 的 输入 是 zx 时 系统 的 输出 。 输 出 为 1 表示 接受 的 证 明 。 
C ) 是 可 忽略 的 。 

在 假设 检验 中 ( 设 Ho 为 假设 ), 有 两 类 错误 ,第 一 类 错误 (也 称 为 “ 弃 真 ”) 是 Ho 为 真 
而 拒绝 H, ,其 概率 (也 称 为 弃 真 率 ) 记 为 Pr[ 拒 绝 H| Ho 为 真 ]。 第 二 类 错误 (也 称 为 * 取 
28 


me 第 ] 章 一 些 基本 概念 和 工具 mm 


伪 ”) 是 H 不 真 而 接受 HH, ,其 概率 (也 称 为 取 伪 率 ) 记 为 Pr[ 接 受 Ho| Ho 不 真 ]。 在 交互 
式 证 明 系统 中 ,完备 性 意味 着 弃 真 率 三 ( ) ,而 可 靠 性 则 意味 着 取 伪 率 三 ( )。 

在 例 1-24 "Hy 为 事件 (G,H)E1ISO, 则 弃 真 率 为 Pr[ 拒 绝 H。|H。 为 真 ]==0, 取 伪 
率 为 Pr[ 接 受 Ho| Ho 不 真 ]=0, 完 备 性 和 可 靠 性 都 满足 。 在 例 1-25 中 ,Ho HFG, 
G,) E NISO, 则 弃 真 率 为 Pr[ 拒 绝 Ho| Ho 为 真 ]==0, 取 伪 率 为 Pr[ 接 受 Ho|H BAIS 


证。 为 了 减少 取 伪 率 ,可 将 协议 重复 执行 多 次 , 设 为 次 , 则 取 伪 率 小 于 [ 吉 】。 
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零 知 识 证 明 起 源 于 最 小 泄露 证 明 。 在 交互 证 明 系 统 中 , 设 知道 某 一 秘密 ,并 向 证 
明 自 己 掌 握 这 一 秘密 ,但 又 不 向 泄露 这 一 秘密 ,这 就 是 最 小 泄露 证 明 。 进 一 步 , 如 果 除 
了 知道 能 证 明 某 一 事实 外 ,不 能 得 到 其 他 任何 信息 , 则 称 实现 了 零 知 识 证 明 , 相 应 的 协 
议 称 为 零 知 识 证 明 协 议 。 

【 例 1-26] 图 1-2 表示 一 个 简单 的 迷宫 ,C 与 D 之 间 有 一 道门 ,需要 知道 秘密 口令 
才能 将 其 打开 。 向 证 明 自 己 能 打开 这 道门 ,但 又 不 愿 向 A 
泄露 秘密 口令 。 可 采用 如 下 协议 : 

(1) 在 协议 开始 时 停留 在 位 置 A。 


(2) 一 直 走 到 迷宫 深 处 ,随机 选择 位 置 C 或 位 置 D。 B 
(3) 消失 后 ， 走 到 位 置 B, 然 后 命令 从 某 个 出 口 返 回 
位 置 B。 clp 
(4) 服从 的 命令 ,必要 时 利用 秘密 口令 打开 C 与 D 之 
间 的 门 。 1-2 零 知 识 证 明 协 议 示 例 


O 和 重复 以 上 过 程 n 次 。 
协议 中 ,如 果 不 知道 秘密 口令 ,就 只 能 从 来 路 返回 B, 而 不 能 走 另外 一 条 路 。 此 外 ， 


每 次 猜 对 要 求 走 哪 一 条 路 的 概率 是 二 ,因此 每 一 轮 中 能 够 欺骗 AREL, 


n 取 16, 则 执行 16 轮 后 ,成功 欺骗 的 概率 是 E 于 是 ,如 果 16 次 都 能 按 的 


要 求 返回 ， 即 能 证 明 确实 知道 秘密 口令 。 可 以 看 出 ,无 法 从 上 述 证 明 过 程 中 获取 丝毫 
关于 的 秘密 口令 的 信息 ,所 以 这 是 一 个 零 知 识 证 明 协议 。 

如 何 刻画 交互 式 证 明 系 统 的 零 知 识 性 , 设 交互 式 证 明 系 统 S=C ，) 用 以 证 明 zEL。 
如 果 通过 和 交互 得 到 的 所 有 信息 都 能 仅 通 过 zx 计算 得 到 ,就 说 明 通过 交互 没有 得 到 
多 余 的 信息 。 下 面 给 出 它 的 数学 描述 。 

设 VIEW , (x) 是 “通过 和 交互 (输入 z) 后 得 到 的 所 有 信息 ,包括 从 得 到 的 消息 
和 “自己 在 协议 执行 期 间 选用 的 随机 数 , 称 为 “的 视图 。 如 果 VIEW ,* (xz) 能 在 仅 知 
道 z 的 情况 下 ,不 通过 交互 而 被 模拟 产生 , 则 说 明 “通过 交互 没有 得 到 多 余 信 息 。 

用 {VIEW ,* (zx)),er 表 示 xEL 时 VIEW ,* (x) 的 概率 分 布 。 

定义 1-15 设 3=( ，) 是 一 个 交互 证 明 系 统 , 若 对 任 一 PPT 的 “ ,存在 PPT 的 机 
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器 S, 使 得 对 VrEL, {VIEW , (zx)}ser 和 {S(z))ser 服 从 相同 的 概率 分 布 , 记 为 
{VIEW ,* (x) jer = (S(x) beer WEK S EEE ALAN, 


WR (VIEW , + (her = (Slx) re, WE S EHA LEA 

其 中 机 器 S 称 为 模拟 器 ,SCz) 表 示 输 入 为 工时 S 的 输出 ,{S(z)}),er 表 示 S 输出 的 概 
率 分 布 。 

图 1-3 为 零 知 识 证 明 的 完备 性 的 示意 ,其 中 表示 “在 协议 执行 期 间 选 用 的 随机 
Bom). ,ms 表示 “从 得 到 的 消息 。 


VIEW, y (x) 







={r,,m,--,ms} 


输入 x © > s(x) 


图 1-3 零 知识 证 明 的 完备 性 





【 例 1-27】 ik(G, HE ISO, EA G, H 之 间 的 一 个 一 一 映射 $ 满足 $4(G) 二 及， 向 
证 明 这 一 事实 。 协 议 如 下 : 

d) 取 一 个 随机 置换 x, 计算 C= aG) ,将 C 发 送 给 。 

(2) 随机 取 Fp (GH) ,将 下 发 送 给 。 

(3) 如 果 F=G, WEM a 二 x; 如 果 下 = 及， 取 和 置换 gc 一 r*g | ,将 a 发 送 给 (mom 
置换 x, 和 x WEA. LW mem (xX) 二 zm (Xz (x)))。 

(4) 验证 aC FP) =C 是 否 成 立 , 若 成 立 , 则 接受 证 明 ; 和 否则 ,拒绝 证 明 。 

显然 ， 和 都 可 在 多 项 式 时 间 内 完成 , 即 都 是 PPT 的 。 

完备 性 : WE F=G, 则 a=x.a(F) =a(G) =2(G) =C. Bl a( F)=C 成 立 。 如 果 F= 
H.W x 一 reg ,a(F)=r° $ (H), mW (G) =H (H(G, H) = € ISO), Il) a(F)= r° 
¢ '(6(G)) =2(G) =C. Bl a( F)=C RE. HMM a F)=C 时 ,接受 的 证 明 。 

可 靠 性 : 如 果 GLH 不 同 构 , 则 

(1) 4 F=G h} .a(F)=2(F) =2(G)=C. 

(2) 4 F=H hf.a(F) =C RRL. AN aC F) =C #.a(H) =2(G).H=a'' 
x(G) , 即 存 在 G 到 昌之 间 的 置换 a-1。x, 与 G、H 不 同 构 矛盾 。 


因此 将 以 广 的 概率 接受 一 个 错误 的 证 明 ( 上 述 (1) 时 )。 如 果 协 议 重复 执行 次 , 则 

















取 伪 率 将 减少 到 [十 】. 


零 知 识 性 : 在 上 述 协 议 中 , 当 输 入 为 GEXH G. H) € ISO 时 ), 任 一 “的 视图 为 
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VIEW ,* (x) 二 {G, 阳 ,C,a}。 下 面 构 造 模 拟 器 S, 为 了 模拟 VIEW , “(xz),S 扮演 的 角 
色 和 “交互 ,过 程 如 下 : 

(1) S 取 一 随机 置换 8, 计 算 D=B(G) ,将 DD 发送 给 “。 

(2) S 若 从 “ 收 到 G, 则 输出 SC) =(G.H.D.B FAR, WRA KA H, AER 
知 %, 不 能 像 构造 一 r*g 一样 来 构造 8, 因 此 中 断 ,重新 从 步骤 (1) 开 始 。 


显然 ,S 每 执行 一 轮 (从 (1) 到 (2)) 是 多 项 式 时 间 , 以 吉 的 概率 产生 输出 。S 结束 模拟 


的 轮 数 期 望 值 是 2, 所 以 是 PPT 的 。 
车 G 有 nn 个 顶点 , 则 其 上 的 置换 有 nl! 个 。 因 a、8 都 是 随机 选取 的 ,概率 分 布 都 是 
1 


二 :而 C.D 都 与 G 同 构 ,概率 分 布 也 部 是 十 ,所 以 对 每 一 输入 z CCG, H) E 180), 
{VIEW , * (zx))zer 与 {S(z))zer 是 同 分 布 的 ,以 上 协议 是 完备 零 知 识 的 。 
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在 上 述 交 互 式 证 明 系 统 中 ， 和 不 进行 交互 ,证 明 由 产生 后 直接 给 ， 对 证 明 直接 
进行 验证 ,这 种 证 明 系 统称 为 非 交 互 式 证 明 系 统 。 非 交互 式 零 知识 (Non-Interactive 
Zero-Knowledge,NIZK) 证 明 系 统 定义 如 下 。 

定义 1-16 一 对 多 项 式 时 间 算 法 ( ，) 是 一 个 语言 LENP 上 的 非 交互 式 零 知识 证 
明 系 统 ,如 果 以 下 性 质 成 立 : 

(1) FEE, IHE EL| = ) 及 其 证 据 w, 有 

Pr[r <R{0,1}m( Jr < (roz,w): (rT,x)=1]=1 

(2) 可 靠 性 。 如 果 zz 人工 ,那么 对 于 任意 的 “ ,下 面 的 概率 都 是 可 忽略 的 : 

Pr[r <R{0,1}m xe *(r,z): (rzyr) = 1] 

(3) 零 知 识 性 。 存 在 一 个 多 项 式 时 间 模 拟 器 S, 使 得 对 于 所 有 的 zxEL REE w, 
以 下 两 个 分 布 是 计算 上 不 可 区 分 的 : 

© {rok{0s1}PY xe (rsxsw): (rt,7))} 

© {(r,n)<S(r): (rryr) )。 

最 后 一 个 条 件 就 限制 了 验证 者 可 能 获得 的 信息 ,直观 地 说 ,验证 者 从 和 证 明 者 交互 中 
得 到 的 信息 都 可 以 用 多 项 式 时 间 的 模拟 器 得 到 。 

定义 中 称 为 公共 随机 参考 串 。 
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下 面 从 两 个 方面 加 强 非 交 互 式 堆 知识 证 明 系 统 的 定义 。 在 可 靠 性 要 求 中 ,证 明 者 在 
看 到 公共 随机 参考 串 ~ 之 后 适应 性 地 选择 zx FL。 在 零 知 识 性 方面 ,公共 随机 参考 串 ~ 由 
模拟 器 产生 ,然后 让 它 产生 xzEL 及 模拟 的 证 明 。 
定义 1-17 ”如果 满 足以 下 条 件 , 一 对 多 项 式 时 间 算 法 Bx 一 ( ，,Sim ,Sims ) 就 是 一 
个 语言 LE NP 的 适应 性 非 交互 式 零 知识 证 明 系统 : 
(1) 完备 性 。 与 定义 1-16 相同 。 
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(2) 可 靠 性 。 对 于 任意 的 “ ,下 面 的 概率 都 是 可 忽略 的 : 
Prr <r{0.1}°™ ;Crz,r) 二 “(r): (roast) =1 Az € {0,1} \L] 
(3) 零 知 识 性 。 设 (Sim ,Sims),( 15 DEAN HK BM BS 


Expzk-ea( ) : Expzx-sim( ) : 

AR(0,1jm 3 r< Sim,( ); 

(zw) (r(x EL f) {0,1} ); (zw) (r(x ELN {0,1} ) 
z (rx); AX < Sim, (x); 

bo (rx) b- :zz 

iB El b. JK El b. 
如 果 下 式 是 可 忽略 的 : 


| PrlExpzxrea( ) = 1] — PrlExpzxsim( ) = 1] | 
则 称 3x 具有 零 知识 性 。 

以 上 模拟 器 的 构造 是 一 种 假想 的 实验 , 称 之 为 思维 实验 (thought experiment) 。 思 维 
实验 是 用 来 考察 某 种 假设 、 理 论 或 原理 的 结果 而 假设 的 一 种 实验 ,这 种 实验 可 能 在 现实 中 
无 法 做 到 ,也 可 能 在 现实 中 没有 必要 去 做 。 思 维 实验 和 科学 实验 一 样 ,都 是 从 现实 系统 出 
发 ,建立 系统 的 模型 ,然后 通过 模型 来 模拟 现实 系统 ,其 过 程 如 图 1-4 所 示 。 




























































































A 实物 模型 | 一 | 方案 选择 K A 假想 模型 | 一 | 假想 选择 
现实 系统 aN / © 实物 实验 | | 假想 系统 | aN / 思维 实验 
ae al OS 
(a) 科学 实验 O) 思维 实验 


图 1-4 科学 实验 与 思维 实验 


两 者 的 区 别 主要 有 两 方面 ,首先 所 用 模型 不 同 , 在 科学 实验 中 建立 的 是 实物 模型 ,而 
在 思维 实验 中 建立 的 是 假想 模型 。 其 次 实验 手段 不 同 ,科学 实验 通常 借助 于 仪器 、 设 备 等 
具体 的 物质 手段 。 而 思维 实验 是 在 思维 中 实现 的 。 

例如 ,为 了 证 明 空间 弯曲 , 爱 因 斯 坦 曾 进 行 了 有 名 的 升降 机 实验 。 在 实验 中 ,他 假设 
升降 机 处 于 加 速 运 动 , 于 是 垂直 于 加 速度 方向 的 一 东 光 的 轨迹 在 升降 机 内 将 是 一 条 抛物 
线 。 所 以 ,如果 把 加 速度 与 引力 等 效 原理 推广 到 电磁 现象 中 ,那么 光线 在 引力 场 中 必定 是 
弯曲 的 。 

思维 实验 的 另 一 个 著名 例子 是 “ 醉 定 汕 的 猫 *", 醉 定 户 (E.，Schrodinger) 是 奥地利 著 
名 物理 学 家 ,量子 力学 的 创始 人 之 一 , 曾 获 1933 年 诺 贝尔 物理 学 奖 。 他 在 研究 原子 核 的 
衰变 时 ,设想 把 一 只 猫 放 进 一 个 不 透明 的 盒子 里 ,盒子 中 有 一 个 原子 核 和 一 瓶 毒 气 。 如 果 
原子 核发 生 衰变 , 它 将 会 发 射出 一 个 粒子 .而 发 射出 的 这 个 粒子 将 会 触发 实验 装置 ,打开 
毒气 瓶 ,从 而 杀 死 这 只 猫 , 如 图 1-5 所 示 。 实 验 完成 后 根据 猫 的 死活 就 可 判断 原子 核 是 否 
发 生 了 衰变 ,因此 这 个 实验 就 把 一 个 微观 问题 转化 为 一 个 宏观 问题 。 然 而 这 个 实验 仅仅 
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是 假想 的 ,因为 实验 装置 必须 是 真空 的 ,无 光 的 ,否则 因为 空气 中 的 粒子 或 光子 的 能 量 要 
大 于 原子 核 粒 子 的 能 量 ,原子 核 粒子 可 能 无 法 触发 这 个 实验 装置 。 








图 1-5 “AREA SS 


在 这 类 实验 中 ,实验 者 根本 无 法 建立 实物 模型 ,只 能 借助 于 思维 的 能 动 性 和 逻辑 规则 
建立 假想 模型 。 
思维 实验 在 后 面 的 可 证 明 安全 性 理论 中 有 广泛 应 用 。 
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为 了 得 到 秘密 分 割 方案 ,首先 需要 定义 访问 结构 。 访 问 结构 是 能 够 重 构 秘 密 的 所 有 
用 户 子 集 构 成 的 集合 。 

EX 1-18 设 {Pi ,Ps,…,P,}) 是 参与 者 集合 ,集合 A C2 PP 称 为 单调 的 9 ,如 
果 BEA 且 BSEC, 则 有 CEA 。 访问 结构 是 {P,P,,…,P,} 的 所 有 非 空子 集 构成 的 单调 
集合 A BA S2 Pei D). A 中 的 集合 称 为 授权 集合 ,不 在 A 中 的 集合 称 为 非 授 
权 集 合 。 

例如 参与 者 集合 是 {1,2,3,4}, 则 A ={{1,2,3}, {1,2,4}, {1,3,4}, {2:3:4}, {1,2, 
3,4)} 是 单调 的 ,而 A 二 {{1,2),{3,4})) 是 非 单调 的 ,因为 {1,3,4}) 不 在 其 中 。 

在 秘密 分 割 方案 中 ,有 一 个 庄家 和 一 组 参与 者 {P,P,,…,P,}。 庄 家 持 有 一 个 秘密 
sE S, 为 每 个 参与 者 产生 一 个 保密 的 秘密 份额 (也 叫 片断 ) ,使 得 参与 者 的 任何 一 个 授权 集 
合 能 够 通过 他 们 各 自 掌 握 的 份额 恢复 出 s。 正 式 定义 如 下 。 

定义 1-19 设 庄家 持 有 秘密 ;ES, 一 个 秘密 分 割 方案 由 以 下 两 个 过 程 组 成 : 

(1) 秘密 分 割 。 秘 密 分 制 是 由 庄家 实现 的 一 个 映射 : 

I: SXR>S, XS, X X S, 

其 中 S 是 秘密 所 在 的 集合 ,R 是 随机 输入 集 ,S;(i 二 1,2,…,n) 是 P; 的 秘密 份额 集合 。 对 
VsES,VrER, 映 射 I(s,r) 得 到 一 个 nn 元 组 (si ,ss,…,s,) ,使 得 5; ES;(i= 二 1,2,…,n)。 


O 设 A 是 一 集合 , 则 2A 是 A 的 所 有 子 集 构成 的 集合 BAA HER. 
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si 称 为 P; WRIA Os.) Sss ERR T s: 给 P;。 
(2) EH. s 能 被 任 一 授权 集合 重 构 , 即 对 VGEA i G= {isisi ,有 一 个 重 
HA PR BL 
he? Si, X Si, XXS > S 
使 得 对 VsES,VrER, 如 果 开 (sr) 一 (ss 00 55, ) 5 WA he Gs, 5 ,5ilol ) 一 S。 
方案 的 安全 性 要 求 : 任 一 非 授权 集合 都 不 能 得 到 s 的 任何 信息 iat ¥ BEA, Va. 
as ES 以 及 所 有 份额 {s;1iE B} ,都 有 


PrL A 0;(a,.r) = s;] = Prl A M larr) = s] 
Pp,EB PiEB 


其 中 rER 是 随机 选取 的 。 
在 以 上 定义 中 ,如 果 |G| 三 t, 则 称 方案 为 (1,n)- 门 限 秘密 分 割 方案 ,t 称 为 方案 的 门 
限 值 。 
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线性 秘密 分 割 方案 是 指 上 述 定义 中 , 重 构 函 数 hs 是 线性 的 。 具 体 定义 如 下 。 

定义 1-20 设 是 一 个 有 限 域 ,秘密 集合 SS 。 上 的 秘密 分 割 方案 是 线性 的 ,如 果 
它 满足 以 下 两 个 条 件 : 

(1) 每 一 参与 者 的 份额 是 上 的 一 个 向 量 , 即 对 ViE {1,2,…,n) ,存在 常数 d; ,使 得 
P: 的 份额 取 自 +. A Gr a 已 份额 中 的 第 j 项 (其 中 sES 是 秘密 ,rER 是 庄家 
选取 的 随机 数 ) 。 

(2) 对 每 一 授权 集 ,秘密 的 重 构 函 数 是 线性 的 , 即 对 VCGEA, 存 在 常数 {wvE : PiE 
GASj<d;} ,使 得 对 VsES,VrER,. 有 


s= >) X aiji Csr) 


PEG 1<j<d; 
其 中 的 运算 在 有 限 域 上 , 份额 的 总 大 小 定义 为 d= Pa. 


【 例 1-28】 Shamir (1,n)- 门限 秘密 分 割 方案 是 线性 的 。 
设 秘密 sSE GF(g) HEP q> n) H R RCE ın 为 访问 结构 中 的 参与 者 数 。 上 庄家 
在 GF(g) 中 均匀 地 选取 1 一 1 个 随机 数 记 ,rs,…,r,_1, 定 义 多 项 式 p(x)==r,_i1x"! 十 
rat? Hetrat s pO) =s). H pC 站 作为 份额 给 参与 者 P;. 
任意 t 个 参与 者 {P; Pa oto Pi } 由 它们 的 秘密 份额 (5s; ,5;,，… +s, } ,根据 Lagrange 
插值 公 \ 式 构造 多 项 式 如 下 ， 
p(x) = Ds Tl 2 


=1 7 a=1 tj — ta 
dj 


从 而 得 s = p(0) = pi = , 即 s ER sa ,sa 00s) 的 线性 组 合 ,s; 的 系数 是 


2 
jel genes 
d4j 








二 -所 以 该 方案 是 线性 的 。 


\\ 
洪 


me 第] 章 一 些 


153 张 成 方案 


张 成 方案 是 计算 布尔 函数 的 一 种 线性 代数 模型 , 它 由 某 个 有 限 域 上 的 矩阵 表示 PE 
的 行 由 变量 的 符号 标注 。 具 体 定义 如 下 。 

EX 1-21 设 是 一 有 限 域 , {zi ,zs,…,zx,} 是 布尔 变量 集合 。 上 的 张 成 方案 是 一 
个 带 标记 的 矩阵 ,表示 为 M(M,p) ,其 中 M 是 上 的 矩阵 ,o 是 行 的 标记 函数 ,使 得 p(i) = 
Zi 或 Ti, 即 M 的 第 i 行 标 记 为 zx; 或;。 设 6€E1{0,1)” 是 布尔 函数 的 输入 , 取 
M 的 子 阵 Ms ,Ms 由 M 满足 以 下 条 件 的 行 组 成 : 标记 为 x: 且 6; 二 1, 或 标记 为 x; 且 ô= 
0。 张 成 方案 M 接受 指派 6 当 且 仅 当 了 E span(M,) ,其 中 了 是 每 一 元 素 都 为 1 的 向 量 , 称 
为 全 1 向量,span(M;) 是 M; 的 所 有 行 的 某 一 线性 组 合 。 

由 MM 计算 了 (6) 的 方式 如 下 : 若 M 接受 6, 则 f(6)=1。 

张 成 方案 称 为 单调 的 ,如 果 它 的 行 标记 仅 取 正 变量 {zi ,zz,…',z,}。 单 调 张 成 方案 用 
于 计算 单调 函数 。 单 调 的 布尔 函数 是 指 在 满足 f(z ,zs，… ,zx,) 二 1 FMA Loy resets 
xz)} 中 ,将 其 中 任意 个 0 HOW 1. fay ere est, =1 仍 成 立 。 

M 中 的 行 数 称 为 张 成 方案 的 大 小 。 

定义 中 的 全 1 向量 了 称 为 目标 向 量 ,通过 改变 线性 空间 的 基 , 目 标 向 量 可 取 任 一 固 
定 的 非 0 向 量 。 


1.54 由 张 成 方案 建立 秘密 分 割 方案 


本 节 给 出 由 单调 张 成 方案 可 构造 线性 秘密 分 割 方案 , 先 引 入 以 下 记号 。 

已 知 GE1P,,P:,…,P,) 8E (0.1}" 是 G 的 特征 向 量 , 即 仅 当 PEG 时 ,66 的 第 i 
个 坐标 为 1 。 定义 函数 fa: {0,1}" 一 {0,1} 如 下 : faC Hac) =1 当 且 仅 当 GEA 。 

定理 1-20 如果 在 有 限 域 上 存在 计算 函数 f4 的 单调 张 成 方案 (大 小 为 d) WE 上 
存在 一 个 实现 访问 结构 A 的 线性 秘密 分 割 方案 ,其 份额 的 总 大 小 为 d。 


证 明 : 设 M 是 有 ?2 列 的 单调 张 成 方案 ,庄家 持 有 的 秘密 为 s。 庄 家 可 如 下 构造 秘密 
分 制 方案 : 从 “中 选取 一 个 随机 向 量 产 = (ri ore etter) HET F = dun = s, 计算 向 
Ht M+ 六 ( 其 第 ;个 元 素 是 M 的 第 i 行 与 产 的 点 乘 ), 并 按 M 的 行 标记 对 M + F 的 元 素 进 


行 标记 (向 量 M e F KES M 的 行 数 相等 ) ,将 标记 为 x; 的 所 有 项 分 配给 P, 作为 P， 
的 秘密 份额 。 


秘密 的 重 构 过 程 如 下 : 设 GE A 是 一 个 授权 集合 ,86 是 G 的 特征 向 量 。 因 为 M 计算 
fas BI fac) =1,T E span(M;), 即 存在 常数 B,B,…,B, 使 得 >)BM; 一 了 , 其 中 MM 是 
M 中 标记 取 自 G 中 的 行 。 将 G 中 的 参与 方 持 有 的 秘密 份额 M!* FoM T HREH 


合 (组 合 系数 取 为 B,B,,… Ba) ,得 
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d d 
DAM. 7) = (DPM) r =T-7F =s 
i=l i=l 
方案 的 安全 性 证 明 需 要 以 下 命题 。 
命题 1.1 设 N 是 一 个 向 量 集合 的 矩阵 表示 ( 即 N 的 行 由 向 量 集合 中 的 向 量 构成 )， 
HRT 与 这 个 向 量 集合 独立 的 充 要 条 件 是 ,存在 向 量 基 使 得 N e a= AT GAO. 
设 B 是 非 授权 集合 ,庄家 分 配给 B 的 秘密 是 s( 即 庄家 选取 产 ==(ri,rs,*…* ,ri)E€ % 
WAT = >) 广 一 ,秘密 份额 为 = 一 M .Fr)。 设 Haes 是 B 的 特征 向 量 ,因为 了 与 Ms 
i=1 
独立 ,由 命题 1. 1, 存 在 向 量 产 , 使 得 Ma + 7’ =0 {A 1 + FAO, 
IHE— aE Z,.4 R =F +a WAT 


M, +R’ = M, + F +ar’) = My + F +0(My -FO = My FP =o 











TR’ =1-Gt+ar’) =1T-F+a 7)=s+aT er’) 
令 s 二 sa( 了 。 产 ), 上 面 二 式 变 为 Ma RHE MTR’ =s', WS BRRR s s+ 
a( 了 。 产 ) 的 秘密 份额 ,由 a 的 随机 性 , 知 ;是 随机 的 ,B 由 自己 的 秘密 份额 得 不 到 ;的 
任何 信息 。 
(定理 1-20 证 毕 ) 
上 述 定理 的 证 明 过 程 给 出 了 秘密 分 割 的 具体 实现 方法 ,如 果 在 张 成 方案 的 定义 中 将 目 
标 向 量 取 为 (1 ,0,… ,0), 则 庄家 在 分 割 秘密 s 时 ,可 取 广 二 (Gs,rp,…… re) EP ry rer 


1.6 归 约 





归 约 是 复杂 性 理论 中 的 概念 ,如 果 一 个 问题 P, 归 约 到 问题 P: , 且 已 知 解决 问题 P, AS 
算法 M ,就 能 构造 另 一 算法 M: ,Ms 可 以 用 M, 作为 子 程 序 , 用 来 解决 问题 P。。 把 归 约 方 
法 用 在 密码 算法 或 安全 协议 的 安全 性 证 明 ,可 把 敌手 对 密码 算法 或 安全 协议 (问题 P, ) 的 
攻击 归 约 到 一 些 已 经 得 到 深入 研究 的 困难 问题 (问题 P) 。 即 如 果 敌 手 能 够 对 算法 或 协 
议 发 起 有 效 的 攻击 ,就 可 以 利用 构造 一 个 算法 来 攻破 困难 问题 ,如 图 1-6 所 示 , 从 而 得 
出 矛盾 。 根 据 反 证 法 ,敌手 能 够 对 算法 或 协议 发 起 有 效 攻 击 的 假设 不 成 立 。 注 意 归 约 和 
反 证 法 的 区 别 , 反 证 法 是 确定 性 的 ,而 归 约 一 般 是 概率 性 的 。 

归 约 的 效率 问题 : 如 果 问 题 P, 到 问题 PP 有 两 种 归 约 方法 ,而 归 约 一 的 概率 大 于 归 约 
二 的 概率 , 则 称 归 约 一 比 归 约 二 紧 。“ 紧 ”是 一 个 相对 的 概念 。 

一 般 地 ,为 了 证 明 方案 1 的 安全 性 ,可 将 方案 1 归 约 到 方案 2, 即 如 果 敌 手 能 够 攻击 
方案 1, 则 敌手 能 够 攻击 方案 2, 其 中 方案 2 是 已 证 明 安全 的 ,或 是 一 个 困难 问题 ,或 是 一 
密码 本 原 ?。 


O 本 原 指 根本 、 事 物 的 最 重要 部 分 ,密码 本 原 指 密码 中 最 根本 的 问题 。 
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1-6 ”密码 方案 到 困难 问题 的 归 约 


证 明 过 程 还 是 通过 思维 实验 来 描述 ,首先 由 挑战 者 建立 方案 2 ,方案 2 中 的 敌手 用 
表示 ,方案 1 中 的 敌手 用 表示 。 为 了 攻击 方案 2, 利 用 作为 子 程序 来 攻击 方案 1。 为 
了 利用 ,必须 模拟 的 挑战 者 对 加 以 训练 ,因此 又 称 为 模拟 器 。 过 程 如 图 1-7 所 示 。 


@ 训 练 @ 训 练 





图 1-7 两 个 方案 之 间 的 归 约 


具体 步骤 如 下 : 

(1) 挑战 者 产生 方案 2 的 系统 。 

(2) 敌手 为 了 攻击 方案 2 ,接受 挑战 者 的 训练 。 

(3) 为 了 利用 敌手 ,对 进行 训练 , 即 作 为 的 挑战 者 。 

(4) 攻击 方案 1 的 系统 。 

(5) 利用 攻击 方案 1 的 结果 来 攻击 方案 2。 

对 于 加 密 算法 来 说 ,图 1-7 中 的 方案 1 取 为 加 密 算法 ,如 果 其 安全 目标 是 语义 安全 ， 
即 敌 手 攻击 它 的 不 可 区 分 性 ,敌手 模拟 的 挑战 者 ,和 进行 IND 游戏 
(Indistingnishability 游戏 , 即 不 可 区 分 性 游戏 , 见 2.1.1 节 )。 称 此 时 对 方案 1 的 攻击 
为 模拟 攻击 。 在 这 个 过 程 中 ， 为 了 达到 自己 的 目标 而 利用 ， 也 许 不 愿意 被 利用 。 但 
如 果 不 能 判别 是 和 自己 的 挑战 者 交互 还 是 和 模拟 的 挑战 者 交互 , 则 称 的 模拟 是 完 
备 的 。 

对 于 其 他 密码 算法 或 密码 协议 来 说 ,首先 要 确定 它 要 达到 的 安全 目标 ,如 签名 方案 的 
不 可 伪造 性 等 ,然后 构造 一 个 形式 化 的 敌手 模型 及 思维 实验 ,再 利用 概率 论 和 计算 复杂 性 
理论 ,把 对 密码 算法 或 密码 协议 的 攻击 归 约 到 对 已 知 困难 问题 的 攻击 。 这 种 方法 就 是 可 
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证 明 安全 性 。 


可 证 明 安全 性 是 密码 学 和 计算 复杂 性 理论 的 天 作 之 合 。 过 去 几 十 年 ,密码 学 的 最 大 


进展 是 将 密码 学 建立 在 计算 复杂 性 理论 之 上 ,并且 正 是 计算 复杂 性 理论 将 密码 学 从 一 门 
艺术 发 展 成 为 一 门 严格 的 科学 。 
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211 公 钥 加 密 方 案 


定义 2-1 一 个 公 钥 加 密 方案 是 一 个 PPT 算法 元 组 (KeyGen，，) : 

(1) KeyGen( ) 是 密 钥 生成 算法 。 输 入 为 安全 参数 ,输出 为 一 个 对 (pk,sk) ,其 中 
pk 是 公开 钥 ( 设 |pk| 二 ) ,sk EWA. RIRH (pk.sk)<KeyGen( ) 。 

(2) 是 加 密 算法 。 输 入 消息 空间 ”的 一 个 明文 M 和 公开 钥 pk ,算法 w(CM) 返 回 一 
个 长 为 多 项 式 pC ) 的 密 文 ,表示 为 CT= wM). 

(3) 是 解密 算法 。 输 入 密 文 CT 和 秘密 钥 sk，w(CT) 返 回 一 个 消息 MRL. KR 
为 M= 4(CT). 

公 钥 加 密 方案 的 正确 性 要 求 : 对 于 任意 ME 以 及 KeyGen 的 任意 输出 (pk,sk) ,都 
有 (MDM, 

假设 公开 钥 已 经 被 认证 ,主要 考虑 的 安全 性 是 一 个 拥有 公开 钥 的 攻击 者 试图 从 密 文 
获得 有 关 明 文 的 信息 。 

加 密 方案 的 安全 性 证 明 有 两 部 分 : 首先 是 刻画 敌手 的 模型 ,说 明 敌 手 访问 系统 的 方 
式 和 计算 能 力 ; 第 二 是 刻画 安全 性 概念 ,说 明 敌 手 攻破 了 方案 的 安全 性 意味 着 什么 。 

若 定义 公 钥 加 密 方 案 的 安全 性 为 : 如 果 敌 手 已 知 某 个 随机 明文 所 对 应 的 密 文 ,不 能 
得 出 明文 的 完整 信息 ,这 种 定义 是 一 个 很 弱 的 安全 概念 ,因为 敌手 虽然 不 能 得 出 明文 的 完 
整 信息 ,但 有 可 能 得 到 明文 的 部 分 信息 。 一 个 安全 的 加 密 方 案 应 使 敌手 通过 密 文 得 不 到 
明文 的 任何 部 分 信息 ,即使 是 1 比特 的 信息 。 这 就 是 加 密 方案 语义 安全 的 概念 ,由 
Goldwasser 和 Micali 于 1984 年 提出 局 ,这 一 概念 的 提出 开创 了 可 证 明 安全 性 领域 的 先 
河 ,奠定 了 现代 密码 学 理论 的 数学 基础 ,将 密码 学 从 一 门 艺术 变 为 一 门 科学 。 

加 密 方案 语义 安全 的 概念 由 不 可 区 分 性 (Indistinguishability) 游 戏 ( 简 称 IND 游戏 ) 
来 刻画 ,这 种 游戏 是 一 种 思维 实验 ,其 中 有 两 个 参与 者 ,一 个 称 为 挑战 者 (challenger) , 另 
一 个 是 敌手 。 挑 战 者 建立 系统 ,敌手 对 系统 发 起 挑战 ,挑战 者 接受 敌手 的 挑战 。 加 密 方案 
语义 安全 的 概念 根据 敌手 的 模型 具体 又 分 为 在 选择 明文 攻击 下 的 不 可 区 分 性 、 在 选择 密 
文 攻击 下 的 不 可 区 分 性 、 在 适应 性 选择 密 文 攻击 下 的 不 可 区 分 性 。 
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公 钥 加 密 方案 在 选择 明文 攻击 (Chosen Plaintext Attack,CPA) 下 的 IND 游戏 ( 称 为 
IND-CPA 游戏 ) 如 下 : 

(1) 初始 化 。 挑 战 者 产生 系统 区 ,敌手 (表示 为 ) 获 得 系统 的 公开 钥 。 

(2) 敌手 产生 明文 消息 ,得 到 系统 加 密 后 的 密 文 ( 可 多 项 式 有 界 次 ) 。 

(3) 挑战 。 敌手 输 出 两 个 长 度 相同 的 消息 M AM 。 挑 战 者 随机 选择 Bp, {0,1}, 
将 Ms 加 密 , 并 将 密 文 C* ( 称 为 目标 密 文 ) 给 敌手 。 

(4) 猜测 。 敌 手 输出 8" ,如果 8 一 8, 则 敌手 攻击 成 功 。 

敌手 的 优势 可 定义 为 参数 的 函数 : 


Advit® (= [Prie = p4 2D 
其 中 ， 是 安全 参数 ,用 来 确定 加 密 方案 密 钥 的 长 度 。 因 为 任 一 个 不 作为 ( 即 仅 做 监听 的 
敌手 ,都 能 通过 对 8 做 随机 猜测 ,而 以 六 的 概率 赢得 IND-CPA 游戏 。 而 





Pra’ 一 内 一 寺 | 是 敌手 通过 努力 得 到 的 , 故 称 为 天 手 的 优势 



























































因为 
Prog’ = pj- 4 |= [Pree = oJPrteg' = ple = 0]+ Pree = 11Prlp’ = 有 = 11-4 
Prlp= ojPrlp' = olp= 0]+ Prie = Prig = 118=1]- | 
[knre =1l8=o+ 二 Prte = 118 = 11-4] 
$IPr[p’ = 1/8=1]—Pr(a’ = 118= 0]| 
政 手 的 优势 也 可 定义 为 
Advg( )= |Pr[B’ =118=1] 一 Pr[8 =1|8=0]| (2.2) 











只 不 过 这 种 定义 的 优势 是 式 (2. 1) 的 2 倍 。 
上 述 IND-CPA 游戏 可 形式 化 地 描述 如 下 ,其 中 公 钥 加 密 方 案 是 三 元 组 区 一 
(KeyGen，，) ,游戏 的 主体 是 挑战 者 。 
ExpgA( ): 
(pk.sk)<— KeyGen( ); 
(MoM) (pk) 4 |M | = |M |; 
Br{0,1},C” = yx (Ma)s 
B’ =< (pk,C*); 
如 果 8” = B, 则 返回 1; 否 则 返回 0. 
敌手 的 优势 定义 为 


Advit’( y= |Pr[Expgs( ) 一 1] 一 去 
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REEL- (pk.C* ) 后 返回 B , 则 优势 按 式 (2. 2) 定 义 。 

定义 2-2 ”如果 对 任何 多 项 式 时 间 的 敌手 ,存在 一 个 可 忽略 的 函数 ( ), 使 得 
Adv ( ) 三 ( ), 那 么 就 称 这 个 加 密 算法 工 是 语义 安全 的 ,或 者 称 为 在 选择 明文 攻击 下 
具有 不 可 区 分 性 ,简称 为 IND-CPA 安全 。 

如 果 敌 手 通 过 M 的 密 文 能 得 到 Me 的 一 个 比特 ,就 有 可 能 区 分 Ms 是 M。 还 是 Ml， 
因此 IND 游戏 刻画 了 语义 安全 的 概念 。 

定义 中 需要 注意 以 下 几 点 : 

(1) 定义 中 敌手 是 多 项 式 时 间 的 ,和 否则 因为 它 有 系统 的 公开 钥 ,可 得 到 Ms 和 Mi 的 
任意 多 个 密 文 , 再 和 目标 密 文 逐 一 进行 比较 , 即 可 赢得 游戏 。 

(2) My 和 Mi 是 等 长 的 ,否则 由 密 文 ,有 可 能 区 分 Ms 是 Mu 还 是 Mi 。 

(3) 如 果 加 密 方案 是 确定 的 ,如 RSA 算法 、Rabin 密码 体制 等 ,每 个 明文 对 应 的 密 文 
只 有 一 个 ,敌手 只 需 重新 对 Ms 和 M, 加 密 后 与 目标 密 文 进 行 比较 , 即 赢得 游戏 。 因 此 语 
义 安全 性 不 适用 于 确定 性 的 加 密 方案 。 

(4) 与 确定 性 加 密 方案 相对 的 是 概率 性 的 加 密 方 案 , 在 每 次 加 密 时 ,首先 选择 一 个 随 
机 数 ,再 生成 密 文 。 因 此 同一 明文 在 不 同 的 加 密 中 得 到 的 密 文 不 同 ,如 ElGamal 加 密 
算法 。 


213 基于 陷 门 置换 的 语义 安全 的 公 钥 加 密 方案 构造 


第 1 章 中 介绍 了 单 向 陷 门 置换 。 直 觉 上 , 单 向 陷 门 置换 是 实现 公 钥 加 密 方案 的 一 种 
很 好 的 选择 ,因为 它 易 于 正 向 计算 (加 密 ) ,没有 陷 门 值 时 难以 求 逆 ( 解 密 ) 。 给 定 一 个 单 向 
陷 门 置换 Gena ,可 以 如 下 构造 加 密 方案 。 

密 钥 生成 : 运行 Genw A.f). S pk=fesk=f'. 

加 密 算 法 : 7/(。) 一 F(。)。 

解密 算法 : ODS). 

然而 ,由 于 ACO ) 是 确定 性 的 ,因此 它 不 能 直接 用 于 构造 语义 安全 的 公 钥 加 密 方案 。 
然而 ,用 单 向 陷 门 置换 的 硬 核 比特 却 能 构造 出 语义 安全 的 公 钥 加 密 方案 。 一 个 单 向 陷 门 
置换 的 硬 核 比特 是 这 样 的 一 比特 信息 : 正确 识别 它 的 概率 不 会 优 于 随机 猜测 。 

单 向 陷 门 置换 用 于 加 密 存 在 的 另 一 个 问题 是 输出 会 潜在 地 暴露 有 关 输 入 的 某 些 信 
息 。 例 如 , 若 f(z) 是 一 个 单 向 陷 门 置 换 , 则 容易 验证 函数 f Ca la) =a | f(a) Clan | 一 
|z:|) 也 是 一 个 单 向 陷 门 置换 。 但 可 以 看 到 直接 暴露 其 输入 比特 的 一 半 。 

EX 2-3 § H= {h :{0,1} 一 (0,1}}) >x 是 一 个 有 效 可 计算 的 函数 族 ， = 
(Genw) 是 一 个 陷 门 置换 。H 是 的 一 个 硬 核 比特 ,如 果 对 于 所 有 的 PPT 敌手 ,存在 一 
个 可 忽略 的 函数 ( ) ,使 得 在 下 面 的 游戏 中 ,优势 Advac. ( )S CO): 

Expro, C ): 
(fof?) < Gena, ); 
xr<pi0-1} ; 
y= f(z); 
返回 (fsy). 
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敌手 的 优势 定义 为 
Adva, ( )= |Pr[ExPro, € ) =h (zx)]— 


下 一 定理 给 出 了 硬 核 比特 的 具体 构造 。 
BA $ 二 (Genw) 是 一 个 陷 门 置换 ,具有 形式 F:{0,1} 一 (0,1} C 为 安全 
参数 )。 定 义 一 个 新 的 陷 门 置换 “== (Gen), 其 中 的 置换 f:{0,1)* 一 {0,1)* 定义 为 


Fan Sf) |r. 定义 函数 族 一 人 :10,1)2 +(0.1}) HR lS rer 则 
“是 一 个 具有 硬 核 比特 的 陷 门 置换 。 
其 中 的 运算 “。” 表 示 二 元 点 乘 , 若 r=: ex €{0.1}) sr=rr er E10,1) , 则 


MEN o E e e r 一 四 -ziri。 

例如 : 1101011。1001011 王 1 四 0 申 0 申 1 巾 0 巾 1 巾 1=0。 

下 面 用 单 向 陷 门 置换 的 硬 核 比特 构造 语义 安全 的 公 钥 加 密 方案 。 

设 = 二 (Genw) 是 一 个 陷 门 置换 簇 ,及 = {h } 是 的 一 个 硬 核 比 特 。 构 造 加 密 1 比特 消 
息 的 公 钥 加 密 方 案 PKE== (KeyGen，，) 如 下 。 

密 钥 产生 过 程 : 


1 
2 


KeyGen( ): 
(F f°) Gena ); 
r<r{0,1} ; 
pk = (for) sk = f^. 
加 密 过 程 ( 其 中 ME {0.1}): 
x=R{0,1} ; 
y= f(a); 
hi =xer: 
输入 (y,h’ OM). 
解密 过 程 : 
(yb); 
输出 6 Fy) +r). 
EME: 若 (y,0) 是 M 的 一 个 有 效 密 文 , 则 
sO (FO) r)= (h OM)O FD) r) 
=((t+r)®M)@ (xr) 
=M 
在 方案 的 IND-CPA 游戏 中 ,可 设 Mo =0.M, 二 1, 因 此 有 Ms 一 B。 
定理 2-2 假设 是 一 个 陷 门 置 换 , 则 以 上 构造 的 公 钥 加 密 方案 PKE= (KeyGen, , 
) 是 IND-CPA 安全 的 。 
证 明 : 根据 定理 2-1, 由 可 构造 具有 硬 核 比特 的 陷 门 置换 “ 二 (Gen%) ,其 中 的 置换 
Bf al N=f@ |r, f Cel) EEA h (alr. r 
下 面 利 用 (攻击 加 密 方案 PKE= (KeyGen，，)) 构 造 另 一 敌手 攻击 “ 二 (Gen4) 的 硬 
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核 比 特 。 
(CF .Qury): 
a<k{0,1}; 
pk = (f.r).c = a)i 
输出 9g = a O A(pk,c). 
因为 是 PPT 的 ,显然 也 是 PPT 的 。 
在 以 上 构造 中 ,已 经 隐 含 地 假定 (x* 四 Ms 二 (zx* 让 四 B 为 a。 设 的 输出 为 8', 则 
的 输出 为 g= (Cx + nOD. H 攻击 PKE 二 (KeyGen，，) 成 功 , 即 8 一 B, 则 
的 输出 g 为 “二 (Gen) 硬 核 比特 x，r。 显 然 
| 








Prlpg=z°*7] Pr[8’ =£] 


2 








E 以 不 可 忽略 的 优势 ria’ =a], | sea PKE 二 (KeyGen。，)， 就 以 同样 的 优势 
输出 了 “= 二 (Gen4) 的 硬 核 比特 xz，r。 





(定理 2-2 证 毕 ) 
214 群 上 的 离散 对 数 问题 


群 上 的 离散 对 数 问题 如 下 : 给 定 群 G 的 生成 元 g MIG 中 的 随机 元 素 hh, 计算 log, h. 
这 个 问题 在 许多 群 中 都 被 认为 是 “困难 的 ”, 称 其 为 离散 对 数 假设 。 下 面 令 GroupGen 是 
一 个 多 项 式 时 间 算 法 ,其 输入 为 安全 参数 ,输出 为 一 个 阶 等 于 g 的 循环 群 G 的 描述 (G 的 
描述 包括 它 的 阶 g, |g| 二 且 g 不 一 定 是 素数 ) 以 及 一 个 生成 元 gEG. GroupGen 的 离 
散 对 数 假设 定义 如 下 。 

定义 2-4 GroupGen 的 离散 对 数 问题 是 困难 的 ,如 果 对 于 所 有 的 PPT 算法 ,下 式 
是 可 忽略 的 : 

Pr[(G ,g) < GroupGen( );h<pGix< (G.g.h) 使 得 g* =h] 

如 果 GroupGen 的 离散 对 数 问题 是 困难 的 , 且 G 是 一 个 由 GroupGen 输出 的 群 , 则 称 
离散 对 数 问题 在 G 中 是 困难 的 。 

例如 , 令 GroupGen 输入 为 ,输出 一 个 长 度 为 的 随机 素数 g( 可 通过 一 个 随机 化 算 
法 有 效 地 实现 ) , 令 G =Z , 则 G 是 一 个 阶 为 g 一 1 的 循环 群 ,其 上 的 离散 对 数 假设 成 立 。 

ElGamal 加 密 算法 是 IND-CPA 安全 的 。 算 法 如 下 。 





密 钥 产生 过 程 : 
KeyGen( ): 
(G .g) < GroupGen( ); 
TRL YI =g"; 
pk = (G ,g,y),sk = x. 
加 密 过 程 (其 中 MEG ): 
r<RZy;3 


me 密码 学 中 的 可 证 明 安 全 性 Eeesssssssa 

















HH Cg yM). 
解密 过 程 : 
(A.B): 
ap B 
输出 
yy B_yM yM yM 
这 是 因为 1 tay gy y 


离散 对 数 问题 意味 着 给 定 公 开 钥 ,没有 敌手 能 确定 秘密 钥 。 然 而 ,这 不 足以 保证 方案 
是 IND-CPA 安全 的 。 实 际 上 ,可 以 找到 一 个 特殊 的 群 ,其 上 的 离散 对 数 假设 成 立 ,但 建 
立 在 其 上 的 ElGamal 加 密 方案 却 不 是 IND-CPA 安全 的 。 例 如 群 Z; (p 为 素数 ) 上 的 离散 
对 数 假定 是 成 立 的 ,但 在 多 项 式 时 间 内 可 判定 Z; 中 的 元 素 是 否 为 二 次 剩余 。 而且,Z; 中 
的 生成 元 g 不 可 能 是 二 次 剩余 ,否则 Z; 中 的 元 素 都 是 二 次 剩余 。 这 会 导致 针对 ElGamal 
方案 的 一 种 直接 攻击 : 敌手 产生 两 个 等 长 的 消息 (Mo ,Mi ) 使 得 M 是 二 次 剩余 ,Mi 是 二 
次 非 剩 余 。 给 定 密 文 (A,B) , 则 存在 ~, 使 得 A=g",B=yMps。 可 以 在 多 项 式 时 间 内 判定 
y 是 否 为 二 次 剩余 ,例如 A 是 二 次 剩余 , 则 存在 一 个 a€Z; 使 得 w =A a 写成 生成 元 
g WORE g IBA A= g” PTL, r=2a mod (p—1), WE A Ry 是 二 次 剩余 , 则 zr 至 少 有 
一 个 为 偶数 ,所 以 y' = 二 g™ 也 是 一 个 二 次 剩余 。 通 过 观察 B, 就 能 判定 Ms 是 否 为 二 次 剩 
R: 如 果 y 是 二 次 非 剩余 且 B 是 二 次 剩余 , 则 Me 必定 是 一 个 二 次 非 剩 余 。 进 而 就 可 以 
判断 出 加 密 的 是 哪个 消息 。 

因此 ,为 了 证 明 ElGamal 加 密 方案 的 语义 安全 性 ,我 们 需要 一 个 更 强 的 假设 。 


215 判定 性 Diffie-HellIman(DDH) 假 设 


判定 性 Diffie-Hellman (Decisional Diffie-Hellman) 假 设 ( 简 称 DDH 假设 ) 指 的 是 区 
分 元 组 (g,g”,g?,g*”) 和 (g,g*,g*,g*) 是 困难 的 ,其 中 g 是 生成 元 ,x、y、z 是 随机 的 。 

定义 2-5 设 G 是 阶 为 大 素数 q 的 群 ,g 为 G 的 生成 元 ,x,y,z<-kZ,。 则 以 下 两 个 分 布 : 

。 随机 四 元 组 R= (g-g"-g’-g7)EG'. 

。 四 元 组 D==(g,g”,g*,g”)EG'( 称 为 Diffie-Hellman 四 元 组 ,简称 DH 四 元 组 )。 
是 计算 上 不 可 区 分 的 , 称 为 DDH 假设 。 

具体 地 说 ,对 任 一 敌手 ， 区 分 RAD 的 优势 Adv*( )==|Pr[ (R)=1]— 
Pr[ (D)==1]| 是 可 忽略 的 。 

定理 2-3 在 DDH 假设 下 ,ElGamal 加 密 方案 是 IND-CPA 安全 的 。 

证 明 : 这 里 我 们 真正 指 的 是 ,如 果 DDH 假设 对 于 GroupGen 成 立 , 且 该 算法 用 于 
ElGamal 加 密 方案 的 密 钥 生成 阶段 , 则 ElGamal 加 密 方案 的 特定 实例 是 IND-CPA 安 
全 的 。 

假设 一 个 PPT 敌手 攻击 ElGamal 加 密 方案 的 IND-CPA 安全 性 。 这 意味 着 输出 等 长 
消息 M, 和 M ,得 到 Ms 的 密 文 , 输 出 猜测 矿 。 若 8 一 8. 则 成 功 (用 Succ 来 表示 该 事件 ) 。 

下 面 构造 一 个 敌手 ,利用 来 攻击 DDH 假设 。 设 的 输入 为 四 元 组 T 一 (gil ,gz， 
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8g3，84), 群 G 及 其 生成 元 g 是 公开 的 。 的 构造 如 下 : 
i 
pk = (gi +g2) 
(M,.M,) < (pk); 
Br{0,1}; 
C* = (gs,g4Mg); 
B= (pk,C’*) 
如 果 8” = 8 则 输出 1; 否 则 输出 0. 
当 输 出 为 1 时， 猜测 输入 的 四 元 组 T= 二 (gi ,gs ,gs ,gs) 是 DH 四 元 组 ,输出 为 0 时 ， 
猜测 输入 的 四 元 组 T= (gi ,gs ,gs,g4) 是 随机 四 元 组 。 
S RR 表示 事件 “(gi ,gs ,gs,g4s) 是 随机 四 元 组 ”,D 表示 事件 “(gi ,gs ,gs,g4) 是 DH 
四 元 组 ”。 
首先 证 明 Pr[ (7T)==1|R] 一 小。 已 知 g 在 G 中 均匀 分 布 ,独立 于 gi、gs、gs。 所 


以 密 文 的 第 二 部 分 在 G 中 均匀 分 布 ,独立 于 被 加 密 的 消息 ( 即 独立 于 B)。 因 此 ， 没 有 B 
的 任何 信息 , 即 不 能 以 超过 1/2 的 概率 来 猜测 p。 而 输出 1 当 且 仅 当 成 功 ,所 以 


Pr[ (D=11R]=4. 
再 证 明 Prò (T)=1|D]=Pr[Succ]. AAS D 发 生 时 , gs 二 gi, gs = Bie ga = 
gt =g Cx 和 vr 是 随机 选取 的 )。 而 公开 钥 和 密 文 的 分 布 与 ElGamal 加 密 方案 在 实际 执 


行 时 是 一 样 的 ,所 以 输出 1 当 且 仅 当 成 功 。 
Pri (T) = 1]= Pr[D]PrE (T) = 1 | DJ+Pr[R]PrL (T) = 1 | R] 


1 
2 
Pri (T) = 0]= Pr[D]Pr (T) = 0 | D]+Pr[R] PrE (T) = 0 | R] 


1 
2 


a1 i 
= z Pr[Suec]+ 2 x 





= 11- 1 
一 了 [1 — Pr[Suce] ]+ 2 x 


所 以 











|Pr[ (D = 1] 一 Pr[ (T) = 0]| Pr[Suce]— + 


即 如 果 能 以 某 个 不 可 忽略 的 优势 ( ) 攻 击 EIGamal 加 密 方案 , 则 可 以 相同 的 优势 攻击 
DDH 假设 。 
注意 ,两 个 事件 (D=05 (T)=1 一 样 ,所 以 |Pr[ (T)=1] 一 Pr[ (M=0]|5 
定义 2-5 中 优势 的 定义 一 致 。 
(定理 2-3 证 毕 ) 
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00 。” 公 钥 加 密 方案 在 选择 密 文 攻击 下 的 
不 可 区 分 性 


IND-CPA 安全 仅 保证 敌手 是 完全 被 动情 况 时 ( 即 仅 做 监听 ) 的 安全 ,不 能 保证 敌手 是 
主动 情况 时 (例如 向 网 络 中 注入 消息 ) 的 安全 。 
例如 在 EIGamal 加 密 方案 中 ,敌手 收 到 密 文 为 CT= (Ci,C; ) ,构造 新 的 密 文 CT' = 
(G:C) JEP C= CM ,解密 询问 后 得 到 M7= MM'。 或 者 构造 新 的 密 文 CT”= 
(C103) SEH C=C g" ,Cl 二 Coy*M' ,此 时 
ct = g'g” i gi, (Bys = y*My*"M" — yt™ MM’ 


解密 询问 后 仍 得 到 M“ 一 MM'。 再 由 必 r mod p 得 到 CT 的 明文 M。 


可 见 ,ElGamal 加 密 算法 不 能 抵抗 主动 攻击 。 

再 看 一 例 , 假如 在 密封 递 价 拍 卖 中 使 用 EIGamal 加 密 方案 。 密 封 递 价 拍卖 就 是 竞价 人 
把 自己 的 竞价 加 密 后 公开 发 给 拍卖 人 ,由 拍卖 人 比较 所 有 竞价 , 价 高 者 获胜 。 这 样 的 拍卖 方 
式 不 允许 竞价 人 看 到 别人 的 价格 之 后 加 价 ,而 是 自己 给 出 自己 的 评估 价格 ,避免 恶意 竞争 。 

假设 拍卖 人 的 公 钥 是 pk = (g,y==g”), 第 一 个 竞价 人 发 送 的 竞价 为 M, 使 用 
ElGamal 加 密 方案 加 密 后 公开 发 送 给 拍卖 人 ,那么 只 要 第 二 个 竞价 人 看 到 第 一 个 竞价 人 
的 密 文 ,他 可 以 提交 如 下 的 密 文 来 竞价 : 








C= (C1,C: ) 
-一 一 一 一 一 一 


竞价 人 1 Clg y * M) 拍卖 人 解密 得 到 M 





竞价 人 2 C= (CC: a) 拍卖 人 解密 得 到 M' 二 Ma 


这 样 , 即 使 第 二 个 竞价 人 不 知道 第 一 个 竞价 人 的 价格 ,只 要 a 二 1, 他 就 能 保证 自己 的 
竞价 大 于 第 一 个 竞价 人 的 竞价 。 

再 比如 使 用 ElGamal 加 密 方案 的 信用 卡 验 证 系统 , 设 用 户 的 信用 卡号 为 Cl ,Cs ,…， 
Ce (每 个 C; 表示 一 个 比特 ) ,用 商家 的 公开 钥 pk 逐 比 特 加 密 : 

Ep (C1) ,En (C2) ,En Cs), o Ep (Cas) 
将 密 文 发 送 给 商家 , 然后 商家 回复 接受 或 者 拒绝 ,表示 这 个 信用 卡 是 否 有 效 。 敌 手 要 获 
得 信用 卡号 ,只 需要 把 第 一 个 密 文 换 成 Ey. (0) ,然后 提交 给 商家 。 商 家 如 果 接 受 , 说 明 第 
一 位 就 是 0; 如果 拒绝 ,说 明 第 一 位 是 1。 如 此 继续 ,就 可 以 得 到 整个 卡号 。 

为 了 描述 敌手 的 主动 攻击 ,1990 年 Naor 和 Yung 提出 了 ( 非 适 应 性 ) 选 择 密 文 攻击 
(Chosen Ciphertext Attack,CCA) 的 概念 中 ,其 中 敌手 在 获得 目标 密 文 以 前 ,可 以 访问 解 
密 论 言 机 (Oracle) 。 论 言 机 也 称 为 神 论 、 神 使 或 传神 论 者 。 神 论 是 古代 希腊 的 一 种 迷信 
活动 ,由 女 祭 司 代 神 传 论 , 解 答疑 难 者 的 吨 问 ,她 们 被 认为 是 在 传达 神 的 旨意 。 因 为 在 
IND-CCA 游戏 中 ,除了 要 求 敌 手 是 多 项 式 时 间 的 之 外 ,不 能 对 敌手 的 能 力 做 任何 限制 。 
敌手 除了 自己 有 攻击 IND-CCA 游戏 的 能 力 外 ,可 能 还 会 借助 于 外 力 。 这 个 外 力 是 谁 , 是 
人 还 是 神 ,我 们 不 知道 ,所 以 统称 为 论 言 机 。 政 手 获得 目标 密 文 后 ,希望 获得 目标 密 文 对 
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应 的 明文 的 部 分 信息 。 

公 钥 加 密 方案 在 选择 密 文 攻击 下 的 IND 游戏 ( 称 为 IND-CCA 游戏 ) 如 下 : 

(1) 初始 化 。 挑 战 者 产生 系统 区 ,敌手 获得 系统 的 公开 钥 。 

(2) 训练 。 敌 手 向 挑战 者 (或 解密 论 言 机 ) 做 解密 询问 (可 多 项 式 有 界 次 ), 即 取 密 文 
CT 给 挑战 者 ,挑战 者 解密 后 ,将 明文 给 敌手 。 

(3) 挑战 。 敌 手 输出 两 个 长 度 相同 的 消息 Ms。 和 Mi ,再 从 挑战 者 接收 Ms 的 密 文 ,其 
中 随机 值 p<-r{0.,1)。 

(4) 猜测 。 敌 手 输出 8 ,如果 8 一 8, 则 敌手 攻击 成 功 。 

以 上 攻击 过 程 也 称 为 “午餐 时 间 攻 击 ” 或 “午夜 攻击 ”, 相 当 于 有 一 个 执行 解密 运算 的 
黑 盒 ,掌握 黑 盒 的 人 在 午餐 时 间 离开 后 ,敌手 能 使 用 黑 盒 对 自己 选择 的 密 文 解密 。 午 餐 过 
后 ,给 敌手 一 个 目标 密 文 ,敌手 试图 对 目标 密 文 解 密 , 但 不 能 再 使 用 黑 盒 了 。 

第 (2) 步 可 以 形象 地 看 做 是 敌手 发 起 攻击 前 对 自己 的 训练 (自学 ) ,这 种 训练 可 通过 挑 
战 者 ,也 可 通过 解密 论 言 机 。 

敌手 的 优势 定义 为 安全 参数 的 函数 ， 


Adv ) = [Prig = 8]- > 


上 述 IND-CCA 游戏 可 形式 化 地 描述 如 下 ,其 中 公 钥 加 密 方 案 是 三 元 组 IS 
(KeyGen，，) 。 
ExpgA( ) 
(pk.sk)< KeyGen( ); 
(MoM) (pk) FE |M, | = |M; |; 
B<r{0s1}+C* = (Mp); 
B’< (pk.C*); 
如 果 p = B, 则 返回 1; 否 则 返回 0. 
敌手 的 优势 定义 为 
Adv ( )= | Pr Expo y=11-F 

游戏 中 (Mo MA O (pk) Ra AY AE pk, E IL w(。) 后 
输出 (Mo ,Mi ) 。 

定义 2-6 如 果 对 任何 多 项 式 时 间 的 敌手 ,存在 一 个 可 忽略 的 函数 ( ) ,使 得 
Adv )< C ) ,那么 就 称 这 个 加 密 算法 区 在 选择 密 文 攻击 下 具有 不 可 区 分 性 ,或 者 称 
为 IND-CCA 安全 。 

下 面 给 出 IND-CCA 安全 的 公 钥 加 密 方案 的 一 个 构造 实例 , 称 为 Noar-Yung 方案 。 
方案 采用 的 是 CPA 安全 的 双 加 密 系 统 ( 对 同一 消息 加 密 ) ,并 且 要 给 出 两 次 加 密 的 确 是 对 
同一 消息 进行 的 零 知 识 证 明 。 

设 I= (KeyGen，，) 是 一 个 CPA 安全 的 公 钥 加 密 方案 ,3 一 ( ，) 是 一 个 NP 语言 
的 适应 性 非 交 互 式 零 知识 证 明 系 统 ,以 下 方案 II* = (KeyGen*. *. *)Æ CCA 安全 的 
公 钥 加 密 方 案 。 
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KeyGen‘ ( ) : 
(pko ,sko) <— KeyGen( ); 
(pki,ski) <— KeyGen( ); 
eo R06 1p PO; 
pk* = (pko ,pki .w); 
sk* = sky. 
Tok srk ww) (M) : 
Tosrıi —r{0,1}° 3; 
Ch = pk, (M5ro); 
CT, = pk, (M371) 5 
r< (wo,(CTo,CT), (rr MD); 
输出 (CTo ,CT 37). 
A (CTo ,CT sn) 
如 果 (〈o,(CTo,CT,r)) = 0 
输出 |; 
否则 
输出 (CTo). 

用 语言 描述 如 下 : 使 用 密 钥 生成 算法 KeyGen 产生 两 个 密 钥 对 (公开 钥 和 秘密 钥 )， 
公布 公开 钥 和 随机 串 w, 然 后 用 第 一 个 秘密 钥 作 为 五" 的 秘密 钥 ( 丢 弃 第 二 个 秘密 钥 )。 加 
密 时 ,使 用 加 密 方 案 及 两 个 公开 钥 pk。 和 pki 对 消息 M 加 密 两 次 ,两 次 加 密使 用 的 随机 
数 记 为 r。 和 ri。 然后 使 用 证 明 者 算法 证 明 两 个 密 文 对 应 的 是 同一 明文 , 即 证 明 (CT,， 
CTi) EL, 其 中 

L = {(CT。,CT)| 存 在 Mro ori ,使 得 CTo = p (Moro) CTi = p (Mori) } 
(EJH rori AM 作为 产生 证 明 的 证 据 , 然 后 把 密 文 和 证 明 发 给 接收 者 。 解 密 时 ,首先 验证 
Xx, 如果 验 证 通过 , 则 对 第 一 个 密 文 使 用 解密 算法 解密 。 

方案 的 CCA 安全 性 的 直观 理解 如 下 : 敌手 收 到 密 文 CT= (CT, ,CT ) 后 , 若 像 攻击 
ElGamal 方案 一 样 构造 新 的 密 文 CT = (CT ,CTi ) ,使 得 CT4 ,CT' 是 对 同一 消息 的 加 
密 , 则 无 法 做 到 。 具 体 的 安全 性 见 定理 2-4。 

定理 2-4 设 厂 = (KeyGen，，) 是 CPA 安全 的 公 钥 加 密 方案 ,5=( ，) 是 NP 请 
言 的 适应 性 非 交 互 式 零 知 识 证 明 系 统 , 则 方案 I = (KeyGen. *. * ) 是 CCA 安全 的 
公 钥 加 密 方案 。 

证 明 : 设 是 多 项 式 时 间 的 敌手 ,将 分 为 两 个 阶段 ,第 一 阶段 可 以 访问 解密 论 言 机 ， 
第 二 阶段 不 允许 访问 解密 论 言 机 。 考 虑 以 下 两 个 游戏 (第 二 个 游戏 与 第 一 个 游戏 的 区 别 
用 方 框 表示 ) 。 

Expo( ) : 
(pko ,sko), (pk: ,sk ) <- KeyGen( ); 


w <p {0,1}P% a 
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pk* = (pko ,pk ,w) ssk* = sko; 

(MM)<— «(pk’); 

rosri <R10,1}" 5 

CT. = p Mosro) ,CT = p (Mo sri) s 

m= (w,(CT. »CT1) + (70571 Mo)); 

B= (pk* ,CT,,CT,.7); 

WAR B= 0, 返 回 1; 和 否则 返回 0. 
Exprina ( ) : 

(pko ,sko) ,(pki ,sk ) <— KeyGen( ); 

w r0, 1 PVO; 

pk* = (pko pki,w) ,sk” = sko; 

(MoM) <=" “© (pk*); 

rosri rR{0,1}"; 


CT. = p Mir) CT = a, Misr); 














m (w.(CT)+CT1) 5 Cros +M1) )| 5 
B< (pk* ,CT,.CT,.7); 
WE P= 1, 返回 1; 否 则 返回 0. 

Expo( )=1 表示 在 游戏 Exp。 中 猜测 正确 , 即 (CT,。 «CT, ) 是 同一 明文 Mo 的 密 文 。 
Expral( ) 一 1 表示 在 游戏 Exprim 中 猜测 正确 , 即 (CT «CT, ) 是 同一 明文 Mi 的 密 文 。 

要 证 明 方案 是 CCA 安全 的 ,需要 证 明 不 能 区 分 上 面 两 个 游戏 , 即 |PrLExpo( )=1J— 
PrlExprin C ) 二 1]| 是 可 忽略 的 。 为 了 达到 目标 ,需要 构造 一 系列 中 间 游 戏 来 过 渡 , 其 中 
每 两 个 相 邻 的 游戏 之 间 区 别 很 小 ,一 个 多 项 式 时 间 敌 手 区 分 相 邻 两 个 游戏 之 间 的 变化 的 
概率 是 可 忽略 的 。 通 过 传递 性 就 可 以 推出 第 一 个 游戏 和 最 后 一 个 游戏 是 不 可 区 分 的 。 第 
一 个 游戏 对 应 的 是 Mo 被 加 密 时 的 情景 ,最 后 一 个 游戏 对 应 的 是 Mi 被 加 密 时 的 情景 ,这 
样 就 得 到 了 结论 。 

一 共有 7 个 不 同 的 游戏 ,描述 如 下 。 

© Exp: 这 是 一 个 真实 的 游戏 ,敌手 挑战 时 得 到 Mo 的 密 文 。 

。 Expr: 将 Exp。 中 的 证 明 系 统 改 为 模拟 器 ,以 产生 模拟 证 明 x, 其 余部 分 与 Exp。 

相同 。 

。 Exp: 将 Exp 中 的 CT, 换 成 M 的 密 文 ,其 余部 分 与 Expy 相同 。 

。 Exp: 将 Exps 中 的 解密 论 言 机 由 使 用 sko 改 为 使 用 sk, ,其 余部 分 与 Exps 相同 。 
Exp,: 将 Exps 中 的 CT, 换 成 Mi 的 密 文 。 其 余部 分 与 Exps 相同 。 
。 Exps : 将 Exp 中 的 解密 论 言 机 由 使 用 sk, 改 为 使 用 sk, ,其 余部 分 与 Exp 相同 。 
。 Exp: 将 Exps 中 的 模拟 证 明 改 为 使 用 王 产 生 证 明 r, 其 余部 分 与 Exps 相同 。 
Exp, 就 是 Exprina 。 
设 Sim= (Sim, ,Sims) 是 证 明 系 统 王 所 使 用 的 模拟 器 。 将 Exp 中 的 公共 随机 参考 串 
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和 证 明 者 产生 的 证 明 都 换 成 模拟 的 ,得 到 如 下 游戏 ( 它 与 上 一 游戏 的 区 别 仍 用 方 框 表 
示 , 表 示 法 下 同 ) : 
Exp,( ): 
(pk, ,sko), (pk; ,sk ) <— KeyGen( ); 








w <= Sim ( )|; 
pk* = (pk ,pk ,w) ,sk” = sks; 
MM) —** © (pk*); 











Toor: <Rri0,1}* 5 


CT. = po (Mo sro) CTi = p, (Mori) 











x < Sim, ((CT,o ,CT ) )|; 
B- (pk’ ,CT,,CT ,xn); 
如 果 B = 二 0, 返回 1; 否则 返回 0. 
断言 2-1 ”对 任意 多 项 式 时 间 敌 手 ,|Pr[Expo( )=1]—PrlExp,( ) 二 1]| 是 可 忽略 的 。 
证 明 : 将 以 上 结论 归 约 到 证 明 系 统 3 的 零 知识 性 上 。 用 来 构造 一 个 算法 来 区 分 
真实 的 证 明和 模拟 的 证 明 。 
(wm): 
收 到 o 作为 第 一 阶段 的 输入 ; 
(pko ,sko), (pki,ski) <- KeyGen( ); 
pk* = (pko ,pk sw); 
sk" = sky; 
(MoM) < 一 ** “ (pk"); // 注意 可 以 为 模拟 解密 论 言 机 
Toor: <R{(0,1) ”3 
CT. = py (Mo sro) ,CT = p (Mosri)s 
将 ((CTo,CT ),(roym MoD 作为 第 一 阶段 的 输出 ; 
将 作为 第 二 阶段 的 输入 ; 
B= (pk’ ,CTo,CT ,x); 
如 果 B = 二 0, 返回 1; 否则 返回 0. 
分 别 用 ZK 和 ZK 表示 事件 输入 的 证 明 x 是 真实 和 模拟 的 。 如 果 事 件 ZK 发 生 ， 
则 在 上 面 的 游戏 中 的 视图 就 和 它 在 Exp。 中 的 视图 相同 ,所 以 
Pr[Expo( ) =1]= Pr[ (wsx) = 1|ZKa] 
另 一 方面 ,如 果 ZKs。 发 生 ， 在 上 面 游戏 中 的 视图 就 和 Exp 相同 ,所 以 有 
Pr[Expi( = 1]= Pri w = 1| ZK] 
HF S SAE, 
|Pr[ (wr) 三 1 工 ZK 一 Prr (Cosn) = 1|ZKsm] | 
是 可 忽略 的 ,所 以 就 有 上 述 结论 。 








(断言 2-1 证 毕 ) 
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第 二 个 游戏 与 第 一 个 游戏 不 同 的 地 方 在 于 它 不 是 把 Ms 加 密 两 次 ,而 是 对 Mo。 和 Mi 
各 加 密 一 次 。 
Exp:( ): 
(pko ,sko),(pki ,sk ) <— KeyGen( ); 
w <= Sim, ( ); 
pk* = (pk) ,pk .w).sk* = sko; 
(MoMi)<— © (pk*)s 


Trost, r{0,1}" 5 





CT. = mm (Mo sro) ,CT = oe, Misr}; 











x < Sim, ((CT, ,CT )); 
B= (pk’ ,CTo,CTi ,mr) 
MFR B= 0, 返 回 1; 和 否则 返回 0. 
注意 到 在 上 面 的 游戏 中 ,模拟 器 输入 的 是 两 个 不 同 明文 对 应 的 密 文 。 这 样 的 输入 不 
在 语言 L 中 ,模拟 是 平凡 的 , 即 x 可 随机 产生 。 然 而 ,我 们 可 以 看 到 ,在 这 种 情况 下 这 两 
个 游戏 依然 是 不 可 区 分 的 ,因为 使 用 的 公 钥 加 密 方案 是 语义 安全 的 ,所 以 对 Mo 的 加 密 和 
对 Mi 的 加 密 不 可 区 分 。 下 面 是 正式 的 证 明 。 
断言 2-2 ”对 任意 多 项 式 时 间 敌 手 ,|Pr[Exps( )=1]—PrlExp,( ) 二 1j]| 是 可 忽略 的 。 
证 明 : 使 用 来 构造 算法 ,以 攻击 加 密 方案 二 的 语义 安全 性 。 回 忆 语 义 安 全 性 的 定 
义 和 游 戏 ， 获 得 一 个 公开 钥 pk ,输出 两 个 消息 (Mo ,Mi ) ,得 到 其 中 之 一 的 密 文 ,然后 猜 是 
哪 一 个 。 不 能 访问 解密 论 言 机 。 
(pk): 
设 pk; = pk; 
(pko ,sko) <— KeyGen( ); 
w < Sim, ( ); 
pk* = (pko ,pk ,wo) ,sk” = sko; 
(MM) 一 ”su* (pk*); // 注意 知道 sk” ,可 以 为 模拟 解密 论 言 机 
输出 (Mo ,Mi ); 
收 到 CT, (为 Mo 或 Mi 的 密 文 ,所 用 的 随机 数 ri RAD; 
ro <R{(0,1) 5 
CT. = m (Mo $70) 
x = Sim; ((CT, CT 
B< (pk’ ,CTo,CTi ,ri 
输出 B. 
(pk) =1 表示 CT Æ M, WX, (pk) =0 表示 CT Æ M, 的 密 文 。 (pk) 王 1 时， 
的 视图 就 是 游戏 Expe 中 的 视图 ; (pk) 二 0 时 ， 的 视图 就 是 游戏 Exp, 中 的 视图 。 因 此 
区 分 Exp, 和 Exp, 的 概率 就 和 区 分 CT 是 M, 的 密 文 还 是 Mi 的 密 文 的 概率 相等 , 即 
51 





me 密码 学 中 的 可 证 明 安 全 性 Eeesssssssssa 


| Pr[Exp:( ) = 1]—Pr[Expi( ) =1]|= |Pr[ (pk) =1]—Pr[ (pk) = 0) | 
由 加 密 方 案 I= (KeyGen, . ) 的 语义 安全 性 ,这 个 值 是 可 忽略 的 。 

(断言 2-2 证 毕 ) 

在 构造 第 三 个 游戏 时 ,用 同样 的 方式 把 CT。 也 从 Mo 的 密 文 换 成 Mi 的 密 文 。 然 而 
这 里 有 一 个 潜在 的 问题 。 为 了 得 到 与 断言 2-2 类 似 的 结论 ,需要 构造 一 个 敌手 来 区 分 
密 文 。 但 要 求 能 为 模拟 解密 论 言 机 ,为 此 需要 sk, ,但 此 时 并 没有 sk。。 所 以 在 继续 
之 前 还 需要 多 做 一 些 事情 。 

设 Fake 表示 事件 向 解密 论 言 机 提交 了 一 个 解密 询问 (CTo,CT ,r), 其 中 

sk, (CTF a (CT: ) 但 是 (w, (CT ,CT ) ,x) 二 1。 用 Pres [Fake] 表 示 在 游戏 Exp 中 
Fake 发 生 的 概率 。 
言 2-3 对 任意 多 项 式 时 间 敌 手 ,Prew, [Fake] 是 可 忽略 的 。 
证 明 : 首先 注意 到 
Prep, [Fake] = Prey, [Fake] (2. 3) 

这 是 因为 在 Exp, 和 Exps 中 ， 仅 在 第 一 阶段 向 解密 论 言 机 提交 了 一 个 解密 询问 ,两 
个 游戏 在 第 一 阶段 的 询问 过 程 是 完全 相同 的 。 

下 面 证 明 | Prey, [Fake] — Prex, [Fake] | 是 可 忽略 的 。 在 Exp。 中 w 是 随机 的 ,而 在 
Exp, 中 o 是 模拟 的 。 下 面 利用 来 构造 一 个 算法 来 区 分 w 是 真实 的 还 是 模拟 的 ,在 
Expy) 和 Exp 中 ,游戏 的 主体 产生 密 钥 对 (pko » sko) » (pki ,ski) 后 ,以 sk。 作 为 秘密 钥 ,ski 
不 青 需要 ,可 丢弃 。 而 在 下 面 构造 时 ， 作 为 游戏 的 主体 需要 判断 Fake 是 否 发 生 , 因 此 
需要 保留 ski 。 构 造 如 下 : 

EON 

(pko ,sko), (pk; ,sk ) <— KeyGen( ); 

pk* = (pk ,pki ,r); 

运行 Ok): 为 模拟 OMR 的 询问 (CT。 ,CT ,x) 使 Fake 发 生 ， 

返回 1; 和 否则 返回 0。 

(wo) 王 1 意味 着 事件 Fake RÆ. (w) =0 意味 着 事件 Fake 不 发 生 。 得 
Pr[ (w) = 1| ZK in ]= Pres, [Fake] 
同 理 可 得 
Pr[ (w) = 1|ZKwn] = Prex, [Fake] 

由 于 3 是 适应 性 安全 的 零 知识 证 明 系 统 , | PrE Cw) =0| ZK] — Pr Cw) 

01ZKra | 是 可 忽略 的 ,所 以 
| Prew [Fake]— Prex, [Fake] | (2.4) 











是 可 忽略 的 。 
最 后 ,注意 到 Fake 发 生 , 仅 当 能 对 (CT。 CT) EL 产生 一 个 证 明 ,使 得 Cw. (CTD 
CT) ,zx)= 王 1, 由 ( ，) 系 统 的 可 靠 性 知 
Prex, [Fake] (2.5) 
是 可 忽略 的 。 由 式 (2. 3) 至 式 (2. 5) 可 得 断言 2-3。 
(断言 2-3 证 毕 ) 
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下 面 构造 Exp ,将 Exp, 中 的 解密 论 言 机 由 使 用 sko 改 为 使 用 sk: ,其 余部 分 与 Exp 相同 。 
Exps( ) : 
(pko ,sko),(pki ,sk ) <— KeyGen( ); 
w Sim,( ); 
pk* = (pko ,pki,w) ,|sk” = sk, |; 
MM) "(pk’); 
rosri <Rr{0,1}" 
CT. = w (Mo sro) ,CT = p (Mi sri) 
x < Sim: ( (CT, ,CT )); 
B< (pk* ,CTo,CT,r) 
WAR B = 0, 返 回 1; 和 否则 返回 0. 
言 2-4 对 任意 多 项 式 时 间 敌 手 , | Pr[Exps( )=1] 一 Pr[Exp:( )=1]| 是 可 忽 
略 的 。 
证 明 : 在 敌手 看 来 , 仅 当 Fake 发 生 时 ,Exps 与 Exp, 产生 差异 。 这 是 因为 当 CT) 和 CT 
对 应 的 明文 一 样 时 ,用 sko 或 者 shy 解密 没有 差别 。 不 难看 出 Prey, [Fake ]= Prey, [Fake]. 
由 断言 2-3, 在 Exp; 49 Exp, 中 ,Fake 发 生 的 概率 都 是 可 忽略 的 ,所 以 断言 2-4 成 立 。 
(断言 2-4 证 毕 ) 
下 面 构造 Exp， ,将 Exps 中 的 CT, 换 成 Mi 的 密 文 。 其 余部 分 与 Exps 相同 。 
Exp,( ): 
(pko ,sko), (pki,ski) <— KeyGen( ); 
w RSIM( ); 
pk* = (pko ,pki,w),sk” = ski; 
(Mo ,Mi ) «(pk’); 


ro or =r (0,1); 























CTo = wh (Mi 3r0)|,CT, = pk, (Miiri); 





x < Sim; ((CT, ,CT ) ); 
B< (CT)-CTi.x); 
WF B= 1, 返 回 1; 和 否则 返回 0. 
言 2-5 ”对 任意 多 项 式 时 间 敌 手 ,| Pr[Exp,( )=1]—Pr[Exp,( )=1] | 是 可 忽略 的 。 
证 明 : 证 明 方 法 与 断言 2-2 类 似 。 假设 存在 一 个 多 项 式 时 间 敌 手 ,使 得 
|Pr[Exp,( )=1]—Pr[Exp,( )=1] | 不 可 忽略 ,那么 就 可 以 构造 一 个 敌手 (pk) 攻破 
MEFR I H IND-CPA 安全 性 ,矛盾 。 
(pko): 
(pk, ,sk ) <— KeyGen( ); 
w<Sim,( ); 
pk* = (pk ,pki,r),sk” = sk;; 
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(M ,MD) < 一 © (pk*)s 








B<p{0+1}3|CTo = ox, (Mp); 








CT, = w (Mi); 
x < Sim: ((CTo CT) ); 
B= (CT,,CT, ,x); 
如 果 p = B, 返 回 1; 否 则 返回 0. 
因为 Æ PPT 的 ,所 以 thd PPT 的。(pki ,ski ) 是 自己 产生 的 且 sk* ==ski ,所 以 
可 以 模拟 的 解密 论 言 机 sw" (。)。 如 果 CTo= mw (Mo), 上 述 过 程 就 和 Exps 一 样 ,如 果 
CTo= p (Mi ) ,上述 过 程 就 和 Exp 一 样 。 所 以 |Pr[Exps( )=1]—PrLExp,( )=1]]| 
就 是 区 分 CTo 二 m (Mi) 和 CTo= w (Mi ) 的 优势 。 由 于 加 密 方案 区 的 语义 安全 性 ,这 
个 优势 是 可 忽略 的 。 
(断言 2-5 证 毕 ) 
在 构造 Exps 时 ,将 Exp 中 的 解密 论 言 机 由 使 用 ski 改 为 使 用 sko ,其 余部 分 与 Exps 
相同 。 
言 2-6 对 任意 多 项 式 时 间 敌 手 , |Pr[Exps( )=1]—Pr[Exp,( )=1]| #74 
略 的 。 
证 明 方法 与 断言 2-4 相同 。 
然后 再 构造 Exps ,把 模拟 的 证 明 换 回 真实 的 证 明 。 这 样 Exp。 就 是 敌手 获得 M, 的 密 
文 的 真实 游戏 。 
Expe( ): 
(pko ,sko), (pk; ,sk ) <— KeyGen( ); 





wp {0,1} Po), 
pk* = (pko ,pki ,co) sk” = sko; 
(MM)<— © (pk* ); 
Footy <_l0,1}""?; 


CT. = pk, (Misro) CT = p, (Mi srs 




















m (o'(CTo,CTi),(rom))|; 
B< (CTo ,CT ,n); 
wÈ B= 1, 返 回 1; 和 否则 返回 0. 
言 2-7 对 任意 多 项 式 时 间 敌 手 ,|Pr[Exps( )=1]—PrlExp,( )=1]| ÆT me. 
证 明 : 与 断言 2-1 的 证 明 类 似 ,如 果 存 在 一 个 敌手 能 够 区 分 这 两 个 游戏 ,那么 就 能 构 
造 另 一 个 敌手 区 分 真实 和 模拟 的 证 明 ,和 证 明 系 统 的 零 知识 性 矛盾 。 





(断言 2-7 证 毕 ) 

从 以 上 一 系列 断言 ,就 可 以 得 出 结论 |Pr[Exps( ) 王 1] 一 Pr[Expo( ) 王 1]| 是 可 忽 

略 的 ,然而 Exp。 就 是 使 用 I" = (KeyGen* ,“,，“ ) 加 密 Mu ,而 Expe 就 是 使 用 ot = 

(KeyGen*. *, * ) 加 密 Mi ,这 样 就 证 明了 用 厂 = (KeyGen*. *, ) 加 密 Mo 还 是 加 
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密 Mi 是 不 可 区 分 的 。 
(定理 2-4 证 毕 ) 


23 ” 公 和 钥 加 密 方案 在 适应 性 选择 密 文 攻击 下 
的 不 可 区 分 性 


1991 年 Dolev, Dwork, Naor") 以 及 Sahaic 提出 了 适应 性 选择 密 文 攻击 (Adaptive 
Chosen Ciphertext Attack,CCA2) 的 概念 ,其 中 敌手 获得 目标 密 文 后 ,可 以 向 网 络 中 注入 
消息 (可 以 和 目标 密 文 相关 ) ,然后 通过 和 网 络 中 的 用 户 交互 ,获得 与 目标 密 文 相应 的 明文 
的 部 分 信息 。 

公 钥 加 密 方案 在 适应 性 选择 密 文 攻击 下 的 IND 游戏 ( 称 为 IND-CCA2 游戏 ) 如 下 : 

(1) 初始 化 。 挑 战 者 产生 系统 区 ,敌手 获得 系统 的 公开 钥 。 

(2) 训练 阶段 1。 敌 手 向 挑战 者 (或 解密 论 言 机 ) 做 解密 询问 (可 多 项 式 有 界 次 ), 即 取 
密 文 CT 给 挑战 者 ,挑战 者 解密 后 ,将 明文 给 敌手 。 

(3) 挑战 。 敌 手 输出 两 个 长 度 相 同 的 消息 M 和 My ,再 从 挑战 者 接收 Me 的 密 文 
C* ,其 中 随机 值 8<-k{0,1)。 

CA) 训练 阶段 2。 敌手 继 续 向 挑战 者 (或 解密 论 言 机 ) 做 解密 询问 (可 多 项 式 有 界 次 )， 
即 取 密 文 CT 给 挑战 者 (CT 关 C" ) ,挑战 者 解密 后 将 明文 给 敌手 。 

(5) 猜测 。 敌 手 输出 p ,如果 8 一 8, 则 敌手 攻击 成 功 。 

敌手 的 优势 定义 为 安全 参数 的 函数 : 


Advis ( = [Prig = 81- > 


上 述 IND-CCA2 游戏 可 形式 化 地 描述 如 下 ,其 中 公 钥 加 密 方 案 是 三 元 组 工 一 
(KeyGen，，) 。 








ExpSeA2( ) : 


(pk.sk)< KeyGen( ); 
(M.M) * (pk) EA | My | = |M; |; 
Br{0,1},C” = ge (Me); 
Bla mec © (pk,C*); 
如 果 p’ = B, 则 返回 1; 和 否则 返回 0. 
其 中 wz*c"(。) 表 示 敌 手 不 能 向 解密 论 言 机 LC. RH ELH 
Adv ( )= | Pr[Expis*’ ¢ ) 一 1 一方 
定义 2-7 ”如 果 对 任何 多 项 式 时 间 的 敌手 .存在 一 个 可 忽略 的 函数 〈 ), 使 得 
Advan.” ( ) 三 ( ), 那 么 就 称 这 个 加 密 算法 工 在 适应 性 选择 密 文 攻击 下 具有 不 可 区 分 
性 ,或 者 称 为 IND-CCA2 安全 。 
在 设计 抗击 主动 敌手 的 密码 协议 时 (如 数字 签名 .认证 、 密 钥 交换 、 多 方 计算 等 )， 
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IND-CCA2 安全 的 密码 系统 是 有 力 的 密码 原 语 ?。 
现在 通过 一 个 反例 看 看 为 什么 Noar-Yung 方案 不 能 抵御 适应 性 选择 密 文 攻击 。 
定理 2-5 对 任意 CPA 安全 的 公 钥 加 密 方案 了 = (KeyGen，， ) ,存在 一 个 适应 性 安 
全 的 非 交互 式 零 知识 证 明 系统 (“,“) ,使 得 按照 Noar-Yung 方式 构造 出 的 方案 D = 
(KeyGen*, *, * ) 不 是 IND-CCA2 安全 的 。 
证 明 : 设 ( ，) 是 适应 性 安全 的 非 交 互 式 零 知识 证 明 系 统 。 定 义 一 个 新 的 证 明 系统 
C’, DWF: 
C COT I OT) 5 
输出 (w, (CTo ,CT ), (ro sr ))10. 
"Cos (CT, CT). lb): 
输出 (w, (CT, ,CT ) ,x). 
在 “中 引入 一 个 多 余 的 比特 ,， “回答 的 时 候 可 以 无 视 这 个 比特 , 按 原来 的 方式 回答 。 容 易 
证 明 (“,“) 也 是 一 个 适应 性 安全 的 非 交 互 式 零 知识 证 明 系统 。 然 而 ,如 果 使 用 这 样 一 个 
证 明 系 统 去 构造 Noar-Yung 方案 ,那么 就 可 以 构造 一 个 敌手 以 如 下 方式 适应 性 选择 密 
文 攻破 加 密 方案 : 





(pk): 
(M,.M,) < (pk); 
得 到 (CT ,CT sx |0); 
向 a C+) 询问 (CTo CTi- | 1); 
得 到 并 返回 Mp. 
上 面 的 攻击 中 ,敌手 仅仅 修改 挑战 密 文 的 最 后 一 个 比特 ,然后 将 其 提交 给 解密 论 言 
机 ,就 可 以 得 到 对 应 的 真正 明文 ,所 以 Noar-Yung 方案 并 不 是 CCA2 安全 的 。 
(定理 2-5 证 毕 ) 
分 析 Noar-Yung 方案 的 安全 性 证 明 ,寻找 哪里 出 了 问题 ,我 们 会 发 现 Prew, [Fake] 不 
青 是 可 忽略 的 了 。 这 是 因为 如 果 敌 手 得 到 了 一 个 伪造 的 证 明 ( 比 如 (CT。 ,CT ,x10)), 他 
只 需 修改 一 个 比特 就 可 以 得 到 另 一 个 伪造 证 明 (CT,。 .CT ,x|1)。 
为 了 解决 这 个 问题 ,需要 构造 一 个 具有 更 强 性 质 的 证 明 系 统 , 使 得 敌手 即使 得 到 一 个 
伪造 的 证 明 ,也 不 能 构造 另 一 个 伪造 的 证 明 , 用 一 次 性 强 签名 方案 可 以 实现 这 样 的 证 明 
定义 2-8 ”一 个 签名 方案 (在 某 一 消息 空间 ) 是 一 个 多 项 式 时 间 算 法 的 三 元 组 
(SigGen. Sign. Vrfy): 
(1) 密 钥 生成 (SigGen) 。 一 个 随机 化 算法 ,输入 为 安全 参数 ,输出 密 钥 对 (vk, sk)， 
其 中 sk 是 签名 密 钥 ,vk 是 验证 密 钥 。 
(2) 签名 (Sign) 。 一 个 随机 化 算法 ,输入 签名 密 钥 sk 和 要 签名 的 消息 ME ,输出 
一 个 签名 o RAHN o 一 Signs(CM) ) 。 
(3) 验证 (Vrfy) 。 一 个 确定 性 算法 ,输入 验证 密 钥 vk、 签 名 的 消息 ME “和 签名 o, 


O 原 语 是 指 由 若干 条 指令 组 成 的 ,用 于 完成 一 定 功能 的 一 个 过 程 。 
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输出 1 或 0(1 表示 签名 有 效 ,0 表示 无 效 )。 
定义 2-9 一 个 签名 方案 (SigGen,Sign,Vrfy) 称 为 一 次 性 强 签名 方案 ,如 果 对 任何 
多 项 式 有 界 时 间 的 敌手 在 以 下 试验 中 的 优势 是 可 忽略 的 : 
Exp$is ( ) 
(vk,sk) < SigGen( ); 
M< (vk); 
o = Signy (M); 
(M'o) — (vk.o): 
如 果 Vrfyw CM so’) = 1 A (Mo) A (Myo) ,返回 1; 和 否则 返回 0. 
敌手 的 优势 定义 为 
AdvgiS ( )= | Pr[Exp$iS ( ) = 1]| 
定义 2-9 意味 着 敌手 已 知 一 个 消息 -签名 对 时 ,不 能 伪造 其 他 消息 的 签名 。CM“ ,co A 
(CM,o) 意 味 着 即使 M 王 M, 但 过 c, 即 敌手 对 同一 消息 也 不 能 伪造 另 一 签名 。 
Dolev, Dwork 和 Naor 基于 IND-CPA 安全 的 加 密 方案 .一 次 性 强 签名 方案 和 适应 性 
非 交 互 式 零 知识 证 明 方案 构造 了 一 个 能 抵御 适应 性 选择 密 文 攻击 的 通用 加 密 方案 (简称 
为 DDN 方案 )59 。 构 造 方 法 如 下 : 
i I= (KeyGen，，) 是 一 个 IND-CPA 安全 的 加 密 方 案 ,3= ( ，) 是 一 个 适应 性 安 
全 的 非 交互 式 零 知识 证 明 系 统 ,Sig= (SigGen,Sign,Vrfy) 是 一 次 性 强 签名 方案 ,DDN 方 
% I'= (KeyGen', ^, JWF: 
KeyGen'( ): 
for i = 1 to do(Cpkioyskio) <— KeyGen. ), (pkiysk) <- KeyGen( ); 
w g0, 1O; 


输出 pk’ = [es "| J.s = karai +0 | 
pki. pko pk ,1 Skillskzl…sk ,4 
(MD) : 


(vk,sk) < SigGen( ); 
将 vk 视 为 比特 长 的 串 , 即 vk = vk | vks |…vk ; 


for i = 1 to dor; <p{0.1}"™™",CT; 一 ia (Mri) s 





z- (w:C+(M.7)); 
o = Signy (C | =); 
输出 Cvk,G ,ro). 
其 中 C 是 所 有 密 文 CT (i 二 1,2,…， ) 构 成 的 向 量 , 产 是 x; (i 二 1,2,…，) 构 成 的 向 量 ,x 
是 所 有 密 文 是 对 同一 明文 加 密 的 证 明 。 
4 (vk,G,ro) : 


如 果 Vrfya (Č | x.o) 一 0, 返 回 |; 
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ME (wC, = 0, 返 回 | ; 
返回 Sk (CT) ). 
对 Noar-Yung 方案 的 攻击 对 这 种 构造 无 效 ,因为 需要 攻击 者 伪造 一 个 签名 。 下 面 是 
正式 证 明 。 
定理 2-6 if 了 = (KeyGen，，) 是 IND-CPA 安全 的 加 密 方案 ,5=( ，) 是 适应 性 
安全 的 非 交互 式 零 知 识 证 明 系 统 ,Sig= (SigGen,Sign,Vrfy) 是 一 次 性 强 签名 方案 , 则 
DDN 方案 下 = (KeyGen’, ’, ’)# IND-CCA2 安全 的 。 
证 明 : 设 是 任意 一 个 多 项 式 时 间 敌 手 , 可 适应 性 地 访问 解密 论 言 机 。 和 定理 2-4 的 
证 明 一 样 ,我们 构造 一 系列 游戏 ,第 一 个 游戏 对 M。 加密 ,最 后 一 个 游戏 对 M 加 密 , 敌 手 
区 分 中 间 相 邻 两 个 游戏 的 概率 是 可 忽略 的 ,最 后 由 传递 性 就 可 得 敌手 不 能 区 分 第 一 个 游 
戏 和 最 后 一 个 游戏 。 
Expy 是 在 真实 情况 下 对 Mo 的 加 密 : 
Expo( ): 
第 1 阶段 
{ (pkis sskis)}<— KeyGen( )(i = 1.2.0. 36 = 0,1); 
wR {0,1 }P?; 
(pk* ,sk )= (({pkin} +w); {skin} ); 
(MMi) = (pk* ). 
第 2 阶段 
(vk.sk)< SigGen( ); 
ri er {0,1} PO (一 1,2,…，)( 从 现在 起 ,这 一 步 不 再 显 式 给 出 ); 
CT: = mw (Moiri) (i 一 1 2 ); 
n- (wc, (Mr)); 
ga Signy (C | x); 
BP <= ** ©? (pk* svk.C 2.0) 3 
MR BY = 0, 返 回 1; 和 否则 返回 0. 
然后 ,把 Expe 中 的 o 换 成 由 模拟 器 Sim, 产生 ,x 换 成 由 模拟 器 Sim, 产生 (不 使 用 任 
何 证 据 ) ,得 到 Expi 。 
Exp: ): 
第 1 阶段 
{ (pkis»skis )} 4 KeyGen )(i = 1.2.77, 36 = 0,1); 





w<|Sim,( )}; 

(pk sk )= (({ kis} +w)» {skis} ) 5 

(Mo MD) 三 ic (pk* ). 
第 2 阶段 

(vk.sk)< SigGen( ); 
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CT: = wa (Mosri) (i = 152505 ); 











aa Sim, (Č) ; 





o = Signy (Č | x); 
B= a ©) C—pk* ,vk:G,ro)i 
WRP = 0, 返 回 1; 和 否则 返回 0. 
言 2-8 对 任意 多 项 式 时 间 敌 手 , |Pr[Exp,( )=1]—Pr[Exp.( )=1]| #74 
略 的 。 
证 明 : 如 果 上 述 概率 不 可 忽略 ,就 可 以 用 构造 另 一 个 敌手 区 分 真实 的 证 明和 模拟 
的 证 明 。 的 构造 如 下 ,其 输入 w 或 者 是 真实 的 随机 串 ,或 者 是 由 Sim 产生 的 。 
(w): 
{ (pkis»skis)}<— KeyGen( ) (i= 1,2,=, ;b= 0,1); 
pk* = ({pkis} +w); 
(Mo:Mı)<— (pk ); 
(vk,sk)<— SigGen( ); 
CT; = Pho, (Mo sri) (i = 152505 ); 


Hah (C.F); 
得 到 x; //r 或 者 是 真实 的 证 明 ,或 者 是 模拟 的 证 明 
o= Signy (Č |m); 
Ba w © (pk* wvk.C a0) 5 
如 果 p = 0, 返 回 1; 和 否则 返回 0. 
注意 能 够 模拟 解密 论 言 机 ,因为 它 有 所 需要 的 秘密 钥 。 如 果 (w,r) 是 真实 的 ， 所 处 
的 环境 就 是 Expo ,所 以 Prò (w)==1] 二 Pr[Expo( ) 二 1]。 如 果 (w,x) 是 模拟 的 ， 所 处 
的 环境 就 是 Exp ,此 时 Pr[ (w)==1] = 二 Pr[Expi1( )==1]。 由 5 的 零 知识 性 ， 区 分 两 种 
场景 的 概率 是 可 忽略 的 ,所 以 必 有 |Pr[Expi1( )==1] 一 Pr[Expo( )=1] | 是 可 忽略 的 。 
(断言 2-8 证 毕 ) 
下 面 构造 Expy , 它 与 Exp 唯一 的 不 同 在 于 ,如 果 在 解密 询问 中 使 用 了 挑战 密 文中 
的 验证 密 钥 vk, 则 返回 | 。 必 有 |Pr[Expy( )==1] 一 Pr[Expi1( )=1] | 是 可 忽略 的 , 因 
为 仅 当 敌 手 能 成 功 伪造 vk 的 一 个 新 签名 时 ,这 两 个 游戏 才 出 现 差别 。 但 由 签名 方案 的 安 
全 性 可 知 ,这 个 事件 发 生 的 概率 是 可 忽略 的 。 
下 面 构造 Expv , 它 与 Expy 唯一 的 不 同 在 于 ,不 再 使 用 ski,w 去 解密 密 文 (vk ,C ,x'， 
0 )( 即 对 这 个 密 文 回答 解密 论 言 机 询问 ) ,而 使 用 vk 和 vk 第 一 个 不 同 的 比特 位 ( 设 为 第 
i 位) 对 应 的 秘密 钥 sk 来 解密 。 也 就 是 说 ,解密 论 言 机 现在 如 下 回复 : 
L 如 果 vk’ = vk 
Da (vk C’, ,0 )= 41> 如 果 Vrfyx (C’ |n )=0R (w.C’ sx’) = 0 
hay (CTD 其 他 
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言 2-9 对 任意 多 项 式 时 间 敌 手 , | Pr[Expyr( )=1]—Pr[Expy( ) 一 1] | 是 可 忽 
略 的 。 

证 明 : 如 果 解 密 询问 的 密 文 向 量 中 的 密 文 对 应 的 明文 是 一 样 的 ,那么 使 用 哪个 秘密 
钥 去 解密 并 不 影响 模拟 。Expy Expr 产生 差别 , 仅 当 敌 手 询问 一 个 密 文 向 量 C',C 中 
不 同 的 密 文 解 密 到 不 同 的 明文 。 所 以 区 分 Expy 与 Expy 的 方式 ,就 是 看 是 否 有 一 个 解密 
询问 的 密 文 向 量 ,其 中 存在 CT' 和 CT; 对 应 的 明文 不 同 ,但 是 证 明 是 有 效 的 ( 即 CC" 
x ) 二 1)。 下 面 证 明 这 个 事件 发 生 的 概率 是 可 忽略 的 。 

设 Fake 表示 发 起 一 个 解密 询问 (vk ,C ,x ,oa ) ,其 中 允 是 一 个 有 效 的 证 明 且 存在 
inj 使 得 ww (CTIA ay (CT;)。 注 意 Pr [Fake] =Pry [Fake]( 因 为 在 Fake 发 生 以 
i, Expr SExpy 没有 差别 ) 。| Pry [Fake] 一 Pr [Fake] | 是 可 忽略 的 ,因为 仅 当 敌手 能 使 
用 vk 伪造 一 个 签名 时 ,Expy 5 Exp, 才 产 生 差别 。 又 知 | Pry [Fake] — Pr [Fake] | 是 可 
忽略 的 ,否则 类 似 于 断言 2-8 ,我 们 就 可 以 构造 一 个 敌手 区 分 真实 证 明和 模拟 的 证 明 。 最 
后 ,由 于 证 明 系统 的 可 靠 性 ,Pr [Fake] 是 可 忽略 的 。 这 样 就 得 到 Pr [Fake] 是 可 忽略 的 ， 
断言 得 证 。 

(断言 2-9 证 毕 ) 

下 面 构造 Exp*, 它 与 Expr 的 不 同 在 于 挑战 密 文 换 成 对 Mi 的 加 密 , 即 CT, = 
Oh, (Miyri) (i=1,2,.…, )。 

断言 2-10 ”对 任意 多 项 式 时 间 的 敌手 , |Pr[Exps( )=1]—Pr[Expr( )=1] | 是 可 
忽略 的 。 

证 明 : 如 果 可 以 区 分 这 两 个 游戏 ,就 可 以 构造 一 个 来 攻破 加 密 方案 S= 
(KeyGen，，) 的 IND-CPA 安全 性 。 实 际 上 ,这 时 是 同时 攻击 耳 的 个 实例 。 由 计算 上 
不 可 区 分 的 混合 论证 可 知 , 荆 的 一 个 实例 是 IND-CPA 安全 的 , 则 多 项 式 数目 个 实例 也 是 
IND-CPA 安全 的 。 

构造 如 下 : 
(pk, ,pk ,** ,pk ): 
(vk.sk)< SigGen( ); 
{(pk;.sk;)}<- KeyGen( ) (i= 1,2,..…, ); 
r<Sim,( ); 
pk* = ({pkig}+r) ,其 中 pkis = Le ety vi 
(MMi) ©? (pk* ); 
输出 (Ms ,MX ) ,得 到 C; 
z- Sim: (Č); 
g= Signa (Č | x); 


B= “CO (vk,C ,ro); 


ns 第 2 章 语义 安全 的 公 钥 密码 体制 的 定义 mm 
返回 p. 
注意 ， 可 以 模拟 解密 论 言 机 “ : 发 起 一 个 解密 询问 (vk',C' ,x ,0 ) ,如果 vk = 
wk， 就 回复 上 ;如 果 vk' 隆 vk, 那么 存在 比特 位 i, 使 得 vk: 隆 vk;， 就 可 以 使 用 skiv 解密 。 


注意 ,在 构造 的 时 候 ， 事 实 上 知道 一 半 的 秘密 钥 , 即 构造 pkie 时 , 若 BA vk; pkg = pki Xt 
应 的 秘密 钥 sk: 是 已 知 的 。 


如 果 C 是 Mi 的 密 文 ， 所 处 的 环境 就 是 Exp* WE C 是 Mo 的 密 文 ， 所 处 的 环境 

就 是 Expr 。 所 以 ,如 果 可 以 区 分 Exp, 和 Expx， 就 可 以 攻破 二 的 IND-CPA 安全 性 。 
(断言 2-10 证 毕 ) 

设 Exps 是 在 真实 情况 下 对 Mi 的 加 密 , 与 以 上 断言 顺序 反 向 推理 , 略 过 中 间 步 又 ,可 
以 得 到 以 下 断言 。 

断言 2-11 对 任意 多 项 式 时 间 敌 手 , | Pr[Exp,( )=1]—Pr[Exp,( )=1]| #72 
略 的 。 

TEAR: 证 明 过 程 类 似 于 Expl、Expy 及 Expr 。 具 体 地 说 ,首先 返回 到 使 用 ski, 3# 
ski,1 的 解密 ,然后 返回 到 解密 (即使 vk’ = vk) ,再 把 证 明 从 模拟 的 换 回 真实 的 ,因为 这 些 
游戏 相 邻 的 两 个 都 不 可 区 分 ,可 得 断言 2-11。 

(断言 2-11 证 毕 ) 

由 以 上 所 有 断言 ,使 用 不 可 区 分 的 传递 性 ,可 得 |PrLExps( )=1]—PrLExp,( )=1]]| 
是 可 忽略 的 。 

(定理 2-6 证 毕 ) 

下 面 给 出 一 个 单 向 函数 的 定义 。 

定义 2-10 WPA f: {0.1} ° > {0.1} ° 满足 以 下 条 件 , 则 称 之 为 单 向 函数 : 

(1) f(z) 是 关于 |zz | 多项式 时 间 可 计算 的 。 

(2) 对 所 有 的 多 项 式 时 间 敌 手 ,以 下 概率 是 可 忽略 的 : 

Pr[z < 一 (0,1) ;y= 二 f(z);zx 一 Cy) WHE F(a’) = y] 

因为 存在 语义 安全 ( 即 CRA 安全 的 ) 的 加 密 方案 意味 着 单 向 函数 存在 ,而 单 向 函数 存 
在 意味 着 一 次 性 强 签名 方案 存在 ,就 可 以 用 下 面 两 个 定理 把 本 章 结果 重新 串联 一 遍 ， 

定理 2-7 如 果 存 在 语义 安全 的 公 钥 加 密 方案 和 适应 性 安全 的 零 知 识 证 明 系 统 , 那 
么 存在 CCA2 安全 的 加 密 方 案 。 

定理 2-8 如果 存 在 陷 门 置换 ,那么 存在 适应 性 安全 的 零 知 识 证 明 系 统 。 

推论 ”如 果 存 在 陷 门 置换 ,那么 存在 CCA2 安全 的 加 密 方案 。 
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第 3 音 
VLSI HES de Ae Hy ST 
码 体制 


(3.1 ”语义 安全 的 RSA 加 密 方案 


3.11 RSA 加 密 算法 


RSA 算法 是 1978 年 由 Rivest, Shamir 和 Adleman 提出 的 一 种 用 数论 构造 的 ,也 是 
迄今 理论 上 最 为 成 熟 完 善 的 公 钥 密码 体制 ,该 体制 已 得 到 广泛 的 应 用 。 它 作为 陷 门 置换 
在 1.3.1 节 中 有 过 介绍 ,下 面 是 算法 的 详细 描述 。 

设 GenPrime 是 大 素数 产生 算法 。 

密 钥 产生 过 程 : 

GenRSAC ) : 
p+q~-GenPrime( ); 
n= pq.e(n)=(p—1)(q-1); 
选 e, 满 足 I<e<g(n) H (oln) ,e) =1; 
计算 d WIE d + e=1 mod g(n) 
pk=(n.e)ssk=(n.d). 

加 密 ( 其 中 | M| <logon): 

we (M): 
CT=M* mod n. 





解密 : 
(CT): 
M=CT? mod n. 
下 面 证 明 RSA 算法 中 解密 过 程 的 正确 性 。 
证 明 : 由 加 密 过 程 知 CT=M" mod n, 所 以 


CT? mod n=M"” mod n=M*”*! mod n 





下 面 分 两 种 情况 : 
(1) M 与 n 互 素 。 由 欧 拉 定理 : 
M*=1 modn, M*™® =] modn, M*¥*!=M mod n 
BI CT? mod n=M. 
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(2) CM,n) 隆 1。 先 看 (M,n) 二 1 WRL, HF n= pq. Mn) =1 意味 着 M 不 是 
p 的 倍数 也 不 是 gq HR. A Mn) Al 意味 着 M 是 p 的 倍数 或 g 的 倍数 ,不 妨 设 
M 王 tp, 其 中 +t 为 正 整数 。 此 时 必 有 (Mg) 王 1, 否则 M 也 是 g 的 倍数 ,从 而 是 pg 的 倍数 ， 
与 M<n=pq F i 
MM.) =1 及 欧 拉 定理 得 M*? =1 mod g, 所 以 M* =1 mod q, [Me ]*? = 
1 mod g,M”" =1 mod g, 因 此 存在 一 个 整数 -~, 使 得 MP = 1+ rq. MHAR M=tp 
得 M'°*! =M-+rtpq=M-+rtn. Bl M*™®+!=M mod n, 所 以 CT* mod n=M., 
(证 毕 ) 
如 果 消 息 M 是 Z; 中 均匀 随机 的 ,用 公开 钥 (x,e) 对 M 加 密 , 则 敌手 不 能 恢复 M。 然 
而 如 果 敌 手 发 起 选择 密 文 攻击 ,以 上 性 质 不 再 成 立 。 比 如 敌手 截获 密 文 CT 三 M* mod n 
后 ,选择 随机 数 rZ, ABEX CT’ =r + CT mod n, 将 CT 给 挑战 者 ,获得 CT 的 明 
文 M' 后 ,可 由 M=M r mod n 恢复 M, 这 是 因为 
Mr (CT yir = (eM )r =r Mr =rMr =M mod n 
为 使 RSA 加 密 方案 可 抵抗 敌手 的 选择 明文 攻击 和 选择 密 文 攻击 , 需 对 其 加 以 修改 。 


3.12 RSA 问 题 和 RSA 假 设 


RSA 问题 : BAKEA ney EZ; ,满足 1<e<p(Cz) 且 (Cp(Cz),e) 一 1, 计算 
y' mod ms 


RSA 假定 : 没有 概率 多 项 式 时 间 的 算法 解决 RSA 问题 。 
313 选择 明文 安全 的 RSA 加 密 


设 GenRSA 是 RSA 加 密 方案 的 密 钥 产生 算法 , 它 的 输入 为 ,输出 为 模 数 z( 为 2 个 
比特 素数 的 乘积 ) .整数 ed HL ed=1 mod y(n), MEH: {0.1}? 习 {0,1}“’ 是 一 个 
哈 希 函数 ,其 中 &( ) 是 一 个 任意 的 多 项 式 。 
加 密 方案 五 ( 称 为 RSA-CPA 方案 ) 如 下 : 
(1) 密 钥 产生 过 程 : 
KeyGen( ): 
(n,e,d)<-GenRSAC ); 
pk=(n,e) ,sk= (n.d). 
(2) 加 密 过 程 (其 中 ME {0,1}“?): 
rg Ze 3 


输出 ( mod n, HO) OM). 


(3) 解密 过 程 : 
sk (Ci +Co ) 
7 一 CY mod n; 
输出 HDC. 
解密 过 程 的 正确 性 显然 。 
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在 对 方案 进行 安全 性 分 析 时 ,将 其 中 的 哈 希 函数 视 为 随机 论 言 机 。 随 机 论 言 机 
(random oracle) 是 一 个 魔 盒 ,对 用 户 ( 包 括 敌 手 ) 来 说 , 魔 盒 内 部 的 工作 原理 及 状态 都 是 未 
知 的 。 用 户 能 够 与 这 个 魔 盒 交互 ,方式 是 向 魔 盒 输入 一 个 比特 串 zx, 魔 盒 输出 比特 串 y 
(对 用 户 来 说 > 是 均匀 分 布 的 ) 。 这 一 过 程 称 为 用 户 向 随机 论 言 机 的 询问 。 

因为 这 种 哈 希 函数 工作 原理 及 内 部 状态 是 未 知 的 ,因此 不 能 用 通常 的 公开 哈 希 函数 。 
在 安全 性 的 归 约 证 明 中 ( 见 图 1-7) ,敌手 需要 哈 希 函数 值 时 ,只 能 由 敌手 为 他 产生 。 之 
所 以 以 这 种 方式 使 用 哈 希 函数 ,是 因为 要 把 欲 攻击 的 困难 问题 嵌入 到 哈 希 函数 值 中 。 
这 种 安全 性 称 为 随机 论 言 机 模型 下 的 。 如 果 不 把 哈 希 函数 当 作 随机 论 言 机 , 则 安全 性 称 
为 标准 模型 下 的 ,如 3. 2 节 的 Paillier 公 钥 密码 系统 和 3. 3 节 的 Cramer-Shoup 密码 系统 。 

定理 3-1 设 瓦 是 一 个 随机 论 言 机 ,如 果 与 GenRSA 相关 的 RSA 问题 是 困难 的 , 则 
RSA-CPA F% I # IND-CPA 安全 的 。 

具体 来 说 ,假设 存在 一 个 IND-CPA 敌手 以 ( ) 的 优势 攻破 RSA-CPA -方案 区 ,那么 
一 定 存在 一 个 敌手 至 少 以 

Adv®4( )>2 ( ) 
的 优势 解决 RSA 问题 。 
WEAR: I AY IND-CPA 游戏 如 下 。 
Expr ( ) 
(n,e,d)<-GenRSAC ); 
pk=(n,e) sk= (n.d); 
H<pe{H: {0,1}? ~{0,1}%}5 
(MMi) "O (pk) ,其 中 | Mo | = |M, |=); 
Bor{0ol} orp Zr ¿C° = (r° mod n, H(r)OM,); 
Bis "4 Cpk,C"); 
如 果 B'==B, 则 返回 1; 和 否则 返回 0. 
Hep CH, {0.1}? 一 {0,1}“’} 表 示 {0,1}* 到 {0,1}“ WR A BOR. wac CORR 
敌手 不 能 对 C* 访问 w(。)。 政 手 的 优势 定义 为 安全 参数 WAR: 


Advi ) 一 | Pr[Expi**( )=1] 一 去 


下 面 证 明 RSA-CPA 方案 可 归 约 到 RSA 假设 。 

敌手 已 知 (,e,61), 以 (攻击 RSA-CPA 方案 ) 作 为 子 程序 ,进行 如 下 过 程 (图 3-1), 目 
标 是 计算 ?三 (61)'* mod n。 

(1) 选取 一 个 随机 串 有 <-k {0,1)*?), 作 为 对 五 (六 的 猜测 值 (但 是 实际 上 并 不 知道 
让。 将 公开 钥 (n,e) 给 。 

(2) HWA: 建立 一 个 表 H (初始 为 空 ) ,元 素 类 型 (zx;,h;)， 在 任何 时 候 都 能 发 
出 对 五 呈 的 询问 ， 做 如 下 应 答 ( 设 询问 为 zx) : 

。 WẸ r CAE AH™ WY (ch) PA h WS. 

。 如 果 =ê, mod n, LAME He WAR HFS. 
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RSA-CPA 
方案 


DRA 
RSA 问 题 













攻击 





OM, M 
(4) 构造 的 密 文 Cs 
ORE 









(6) 输出 
RSA 问 题 


3-1 RSA-CPA 方案 到 RSA 的 归 约 


。 否则 随机 选择 h-r 10,1) O ,以 应答, 并 将 (z,h) 存 人 表 中 。 

G) 挑战 。 输出 两 个 要 挑战 的 消息 M 和 M,， 随 机 选择 Be (0,1) IF SE =D 
Mg ,将 (cl,cs ) 给 作为 密 文 。 

(4) 在 执行 结束 后 (在 输出 其 猜测 8' 之 后 )， 输 出 第 (2) 步 记 下 的 7 二 xz。 

设 表示 事件 : 在 模拟 中 发 出 HOH, 五 (六 出 现在 Hp, 

断言 3-1 在 以 上 模拟 过 程 中 ， 的 模拟 是 完备 的 。 

TEAR. 在 以 上 模拟 中 ， 的 视图 与 其 在 真实 攻击 中 的 视图 是 同 分 布 的 。 这 是 因为 

(1) 的 互 询 问 中 的 每 一 个 都 是 用 随机 值 来 回答 的 。 而 在 对 工 的 真实 攻击 中 ， 得 
到 的 是 H 的 函数 值 ,由 于 假定 互 是 随机 论 言 机 ,所 以 得 到 的 互 的 函数 值 是 均匀 的 。 

(2) 对 来 说 ,hOMs Wh Xt My 做 一 次 一 密 加 密 。 由 的 随机 性 ,h@Ms 对 来 说 是 随 
机 的 。 

所 以 两 种 视图 不 可 区 分 。 

(断言 3-1 证 毕 ) 

断言 3-2 ”在 上 述 模拟 攻击 中 Pr[ J>2. 

证 明 : 显然 有 Pr[ExpB**( O= =E. h 在 真实 攻击 中 的 定义 知 的 优 
势 大 于 等 于 ,得 在 模拟 攻击 中 的 优势 也 为 

Pr[ExpgsAcPA( y=1]-t > 


Pr[Exp8sAcA( )=1]=Pr[Exp ^^ )=1|- ]Pr[- ] 
+Pr[Expr*O*( )=1! JPr[ ] 
<Pr[Exp ^A )=1|- ]Pr[ 一 ] 十 Pr[ ] 


= 去 Pr[-， ] 十 Pr[ ] 一 去 一 Pr[ D+Pr[ ] 
+ 去 Pr[ ] 


又 知 : 
Pr[ExpBA®A( )=1]>Pr[Exp "c )=1|— JPr[=— ] 
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= = 
zl BEP 


ii 
z oP ] 
1 
ee 
2 


所 以 <| Pr[Expa’( )=1]— Pr[ ], 即 模拟 攻击 中 Pr[ ]>2. 


(断言 3-2 证 毕 ) 

由 以 上 两 个 断言 ,在 上 述 模拟 过 程 中 7 以 至 少 2 的 概率 出 现在 H., E 发 生 , 则 在 

第 (2) 步 可 找到 z W Er = mod n, Bl ==) mod n。 所 以 成 功 的 概率 与 发 生 
的 概率 相同 。 


eS 
2 


(定理 3-1 证 毕 ) 

定理 3-1 已 证 明 瑟 是 IND-CPA 安全 的 ,然而 它 不 是 IND-CCA 安全 的 。 敌 手 已 知 密 

X CT= (Ci,C; ) ,构造 CT = (CC 四 M ) ,给 解密 论 言 机 , 收 到 解密 结果 为 M" = 
MƏM’ ,再 由 MM 即 获 得 CT 对 应 的 明文 M。 


314 ”选择 密 文安 全 的 RSA 加 密 


因为 选择 密 文安 全 的 单 钥 加 密 方案 的 构造 较 容易 ,本 节 利 用 选择 密 文安 全 的 单 钥 加 
密 方案 构造 选择 密 文 安全 的 公 钥 加 密 方案 。 
单 钥 加 密 方案 I= (PrivGen ,Enc,Dec) 的 选择 密 文 安全 性 由 以 下 IND-CCA 游戏 来 
刻画 。 
Exp ( ),; 
kpi 4 PrivGen( ); 
(My Mi) Epa C Pa HEEB |M, |= |M, |=); 
B<r {0.1} C" =Ency (Mo); 
BP Piggy ggg (7 (C™ )s 
如 果 B’ =. WE E 1; 否 则 返回 0. 
其 中 Dec oct (+ ) 表 示 敌 手 不 能 对 CW Dee, C). 政和 手 的 优势 可 定义 为 安全 参 
数 的 函数 : 


Adviser ) 一 |Pr[Expgres( )=1]— 


单 钥 加 密 方 案 二 的 安全 性 定义 与 定义 2-2、 定 义 2-6、 定 义 2-7 类 似 。 
i GenRSA 及 H wmi, 1=(PrivGen. Enc. Dec) E—*+ BAKE AW ,消息 长 度 为 
4( ) 的 IND-CCA 安全 的 单 钥 加 密 方案 。 
选择 密 文安 全 的 RSA WEHR 下 =(KeyGen，，)( 称 为 RSA-CCA 方案 ) 构 造 
如 下 。 
(1) 密 钥 产生 过 程 : 
KeyGen( ): 
(n,e,d)<-GenRSA( ); 
pk=(n,e).sk= (n.d). 
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(2) 加 密 过 程 (其 中 ME {0,1}“): 
rapgle 5 
h=H(r); 
输出 ( mod n, Enc, (M) ). 
(3) 解密 过 程 : 
(C-C): 
r=C} mod n; 
h=H(r); 
输出 Dec, (Cz). 
定理 3-2 i 五 是 随机 论 言 机 ,如 果 与 GenRSA 相关 的 RSA 问题 是 困难 的 , 且 工 是 
IND-CCA 安全 的 , 则 RSA-CCA FR I'i IND-CCA 安全 的 。 
具体 来 说 ,假设 存在 一 个 IND-CCA 敌手 以 ( ) 的 优势 攻破 RSA-CCA FR I’, HS 
么 一 定 存在 一 个 敌手 至 少 以 
AdvssA( )>2 ( ) 
的 优势 解决 RSA 问题 。 
证 明 : I’ 的 IND-CCA 游戏 如 下 : 
Exp 中 AccA( ) 
(n,e,d)<-GenRSAC ); 
pk=(n,e).sk= (n.d); 
H<p{H: {0.1}? ~{0,1}“}; 
(Mo ,Mi )<— oF Ck) EH | Mo | =| Mi = ); 
Ber {0,1} srr Z, C" = (r° mod n, Ene’ pw (Mp) Jý 
Bl e OHO kC" Jg 
如 果 B’ =. WGK P 1; 和 否则 返回 0. 
其 中 wz*c'(。) 表 示 敌 手 不 能 对 CW 4(，)。 敌 手 的 优势 定义 为 安全 参数 的 函数 : 


Advgee*( J= | Pr[ExpB°8( )=1] — 


下 面 证 明 RSA-CCA 方案 可 归 约 到 RSA 问题 。 
敌手 已 知 (n,e,61), 以 (攻击 RSA-CCA 方案 下 ) 作 为 子 程序 ,执行 以 下 过 程 (参见 
图 3-1 ,将 其 中 的 RSA-CPA 改 为 RSA-CCA), 目 标 是 计算 ?三 (6) mod n, 
(1) 选取 一 个 随机 串 h<-k {0,1)“) ,作为 对 瓦 (GF) 的 猜测 (但 实际 上 并 不 知道 站)。 将 
AFA pk 二 (n,e) 给 。 
(2) HH 询问。 建立 一 个 His ,元素 类 型 为 三 元 组 (r,c,h), 初 始 值 为 (x*,61, 有 ) ,其 
He 表示 该 分 量 的 值 目前 未 知 。 在 任何 时 候 都 能 对 HH 发 出 询问 。 设 的 询问 是 ~， 
计算 c =r mod n 并 做 如 下 应 答 : 
。 如 果 Hi 中 有 一 项 (~r,cl h) WA h DE. 
68 


mn 第 3 章 几 类 语义 安全 的 公 钥 密码 体制 ”mm 


。 如果 瑟 * 中 有 一 项 (x,c ,有 ), 则 以 有 应答 并 在 电导 中 以 (x,c oh) ERR x*,ci sh) 
。 否则 ,选取 一 个 随机 数 hr {0,1)” ,以 有 应答 并 在 表 中 存储 (x,c sh) 
(3) 解密 询问 。 向 发 起 询问 (i ,cs) 时 ， 如 下 应 答 : 
。 如 果 昌 * 中 有 一 项 ,其 第 二 元 素 为 C1( 即 该 项 为 (六 ,C1 ,hh) ,其 中 产 寺 CI mod n, 或 
者 为 (*,ci ,及 )), 则 以 Decz (6) 应 答 。 
。 否则 ,选取 一 个 随机 数 廊 <-k {0,1)" ,以 Decr (5,) 应 答 , 并 在 H FER CHE 
h). 
(4) 挑战 。 输出 消息 Mo, M, € (0,1), 随机 选取 BAr 10,1). H ê = 
Enci (Mg). VA(é1 sé. ) 应 答 。 继 续 回答 的 互 询问 和 解密 询问 ( 不 能 询问 (cl ,cs ) ) 。 
(5) 猜测 。 输出 猜测 8’。 检查 Fis ,如 果 有 项 (7,6 ,有 , 则 输出 产 。 
设 表示 事件 : 在 模拟 中 发 出 HOH, HORRE Hp, 
断言 3-3 在 以 上 模拟 过 程 中 ， 的 模拟 是 完备 的 。 
证 明 : 在 以 上 模拟 中 ， 的 视图 与 其 在 真实 攻击 中 的 视图 是 同 分 布 的 。 这 是 因为 
(1) 的 五 询问 中 的 每 一 个 都 是 用 随机 值 来 回答 的 。 
(2) 对 的 解密 询问 的 应 答 是 有 效 的 : 对 (ci,c*) 的 应 答 为 Decr (C) ,根据 H™ 
的 构造 ,有 对 应 的 满足 7 二 C1 mod n Bh =H (F ) , Ati Decr (cs) 是 有 效 的 。 
所 以 两 种 视图 不 可 区 分 。 
(断言 3-3 证 毕 ) 
断言 3-4 在 上 述 攻击 中 PrL ]>2 。 
证 明 : 在 上 述 攻击 中 ,如 果 HGR BE Eee 中 , 则 AR AEE BIA. Hê = Enc; (Mp) 
及 Ene 的 IND-CCA 安全 性 ,得 Pr[8 一 有 ~] 一 于 。 其 余部 分 与 断言 3-2 的 证 明 相 同 。 
(断言 3-4 证 毕 ) 
由 以 上 两 个 断言 ,在 上 述 模拟 过 程 中 7 以 至 少 2 的 概率 出 现在 H, EBORE 
检查 HH 中 的 元 素 , 所 以 成 功 的 概率 等 于 的 概率 。 
GEM 3-2 证 毕 ) 


30 Paillier 公 钥 密码 系统 





3. 1 节 介绍 的 方案 ,其 安全 性 证 明 是 在 随机 论 言 机 模型 下 进行 的 , 即 把 其 中 的 哈 希 函 
数 看 成 随机 论 言 机 。 但 这 种 证 明 不 能 排除 敌手 可 能 不 通过 攻击 方案 所 基于 的 困难 性 问题 
而 攻击 方案 ,或 者 不 通过 找 出 哈 希 函数 的 某 种 缺陷 而 攻击 方案 。 下 面 介绍 的 Paillier A4 
密码 系统 中 和 Cramer-Shoup 公 钥 密码 系统 品 ,它们 的 安全 性 证 明 不 使 用 随机 论 言 机 模 
型 ,这 种 证 明 模 型 称 为 标准 模型 。 

Paillier 公 钥 密码 系统 基于 合 数 宕 剩余 类 问题 , 即 构造 在 模 数 取 为 n 的 剩余 类 上 ,其 
P n= pqp 为 两 个 大 素数 。 
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设 CP 是 一 类 问题 集合 ,如 果 CP 中 的 任 一 实例 可 在 多 项 式 时 间 内 归 约 到 另 一 实例 或 
另外 多 个 实例 ,就 称 CP 是 随机 自 归 约 的 。CP 中 问题 的 平均 复杂 度 和 最 坏 情况 下 的 复杂 
度 相 同 ( 相 差 多 项 式 因子 ) 。 


321 FARER XZE 


定义 3-1 i n=pq pq 为 两 个 大 素数 ,对 ><-kZw* ,如 果 存 在 yE Zw ,使 得 r= 
y" mod n? W) z WRR n? 的 n 次 剩余 。 

31 3-1 

(1) 7 次 剩余 构成 的 集合 C EZ 的 一 个 阶 为 g(x) 的 乘法 子 群 。 

(2) 每 一 个 次 剩余 z 有 个 根 , 其 中 只 有 一 个 严格 小 于 n 

(3) 单位 元 1 的 nn 次 根 为 (1 十 n)' 夺 1 十 tn mod n? (t=0,1, ,2 一 1)。 

(4) 对 任 一 wE2Zw w=] mod n? Hp A Èn AYR OK ARR PR BCA Cn) BY HTS, 

WERA: 

(1) Ran EC WEE ysy: E€ Ze, 1 x =y mod n, z= y; mod n, AW 
ye EZr, ymyr € Ze HEVA zzz = (yiyz')" mod n?*EC, 所 以 C 是 Zw 的 子 群 。 又 设 
yly<n) Æ =y" mod n 的 解 , 那 么 y 十 tn(t 二 0,1,…,n 一 1) 都 是 =y" mod n? 的 解 ,这 
是 因为 

(y+tn)" = y"+ny"1tn = y" + y"1tn? = y" modn =z 


所 以 C 中 每 一 元 素 有 nn 个 根 : 


=1)73)=1 cr 
[C| = =-|Ze |= g(r) 


-e(a 


= (p—1)(g—1)= gn) 








(2) 在 (1) 的 证 明 中 已 得 。 
(3) BiEA+¢tn)"=1+tn? +++=1 mod n?。 
(4) 因为 w*=1 mod n,w’* 三 1 十 tn,t HEDER w = (1 tiny" =1t tn’? += 


1 mod n°. 








GIH 3-1 证 毕 ) 

合 数 短 剩 余 类 的 判定 问题 是 指 区 分 模 n? 的 半 次 剩余 与 2 次 非 剩 余 , 用 CR[Lnj 表 示 。 

CR[Lnj 是 随机 自 归 约 的 。 设 三 y? mod nsz: =y; mod n? ABA z2=(y2y7' )"Z1 
mod n’, HUMR zi 是 nn 次 剩余 , 则 zs 也 是 n 次 剩余 , 即 任意 两 个 实例 都 是 多 项 式 等 
价 的 。 

与 素数 剩余 类 的 判定 类 似 , 判 定 合 数 宕 剩余 类 也 是 困难 的 。 

猜想 ”CR[Lnj] 是 困难 的 。 

这 个 猜想 称 为 判定 合 数 寡 剩余 类 假设 (Decisional Composite Residuosity Assumption, 
DCRA) 。 由 于 随机 自 归 约 性 ,DCRA 的 有 效 性 仅 依赖 于 的 选择 。 
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设 gE€Zw ,ys 是 如 下 定义 的 整 型 值 函 数 : 
ZX Zi DZ 
nae g” + y" mod n? 
引 理 3-2 WR g 的 阶 是 的 非 零 倍 , 则 ys 是 双 射 。 
证 明 : 因为 |Z,XZ; |= |Z? | =ng(n) ,所 以 只 需 证 明 ys 是 单 射 。 


假设 yt yt mod 到 ,那么 ge « (2) 1 mod 并 ,两 边 同 时 取 次 方 ,由 引 


a 
H 3-104) 48 ge =1 mod r , AA ord, g là Cr: ~x), HEM nlà Cr ar), NAM 
n= pq H}, (A,n) =1, RW n| Cr: — x1) FA z1x: © Za» |£2 >:| <n, FW £= azo 


gee (2) = mod 7? 变 为 [将 】 =1 mod 到 ,又 由 引 理 3-103). BE? 下 单位 元 1 的 
1 1 


REZ, 上 是 唯一 的 ,为 1 所 以 在 Z; 上 ,党 一 1, 即 =y RE p 是 双 射 。 


( 引 理 3-2 证 毕 ) 
设 B.CZw* 表 示 阶 为 na 的 元 素 构成 的 集合 ,B 表示 B. 的 并 集 , 其 中 4a=1,2,… ,4。 
定义 3-2 设 g€EB, 对 于 wEZw ,如 果 存 在 yEZ; 使 得 如 (zy) 一 z, 则 称 zxEZ, 为 
ww 关于 g in 次 剩余 , 记 作 [[wjjs。 
引 理 3-3 
(1) [[wjjs==0 KRK w ER n’ 的 次 剩余 。 
(2) 对 任意 wi ,ws EZw ,有 [Cwiwsj]]s 二 [Lrwyjjs 十 [[wsJ]Js mod n。 即 对 于 任意 的 
gEB, 函 数 wPL[wj]s 是 从 (Z2 ,X ) 到 (Z,, 十 ) 的 同 态 。 
证 明 : 证 明 很 简单 , 略 去 。 
已 知 wE Zw , 求 [[w]]s, 称 为 基 为 g 的 n 次 剩余 类 问题 ,表示 为 Class[n,g]。 
引 理 3-4 Class[n,g] 关 于 wE€Zw 是 随机 自 归 约 的 。 
证 明 : 对 于 Class[n,g] 的 任 一 实例 wEZ ,在 Z, 上 均匀 随机 选取 a、B BEZ, 的 概 
率 是 可 忽略 的 ) ,构造 w 三 wg*PB" mod r, WH wEZw 转 换 为 另 一 实例 w EZ 2 ORM 
(lw), 后 ,可 计算 出 [[w]]s==[[w jj 一 a mod n, 
( 引 理 3-4 证 毕 ) 
31 3-5 ”Class[n,g] 关 于 gE€B 是 随机 自 归 约 的 , 即 对 任意 gi, g € B, Classin, gı |= 
Class[n,gz]。 其 中 符号 Pi=P, 表示 问题 P 和 P, 在 多 项 式 时 间 内 等 价 。 
证 明 : 已 知 weZ, ,gzE 了 ,存在 wwEZ: ,使 得 w= gle, . yio AREF gi ,g; E 
B, 存 在 y EZ; g5 gels, + yh. HwH gM, Da + (ya y)”, Bp 
[La = Llw]ls, LLgz ls, mod n (3.1) 
BM Lee Jeo RCo] Je, ,所 以 Class[n,g1] 守 Class[n,gz]。 
WA (Len J], 二 1, 将 w= gi 带 入 [[wjjs, 三 [[Lwjjs [Lgzjjs mod n, 得 [Lg]js, 
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[e1], =1 mod n, [Ce], = Ce 115 + Cle), =e, ee TI; mod ne 所 以 
Class [n , g: | &Class [n g; ] o 
GIH 3-5 证 毕 ) 
引 理 3-5 说 明 Class [n,g] 的 复杂 性 与 g 无 关 , 因 此 可 将 它 看 成 仅 依赖 于 的 计算 
问题 。 
定义 3-3 P Class [z] 问 题 为 计算 合 数 宕 剩余 类 问题 , 即 已 知 wE Zg EB, iH 
算 [[z]]s 。 
设 S,={u<n’ |u=1 mod n} ,在 其 上 定义 函数 工 如 下 : 
对 任 一 we SLCO 一 “二 1 
显然 函数 工 是 良 定 的 。 
引 理 3-6 对 任 一 wEZ;,L(w* mod n? )=A[Lw]4, mod n. 
TEAR: 因为 1 十 nEB, 所 以 存在 唯一 的 (a,5)EZ,XZ; ,使 得 w= (1 十 n)%b” mod n?， 
即 4a==[[wjji+,。 由 引 理 3-1(4),6* 夺 1 mod n°, MLL w*= (1+n)*b" =1+adn mod 
n’?,L(w? mod n? )=Aa=A [[w]]i+, mod n. 
GIH 3-6 证 毕 ) 
定理 3-3 Class[n] Fact[n]。 
TEAR: AA ehe =n] mod n 是 可 道 的 ,由 引 理 3-6 可 知 L(g* mod n°) = 
ALLg Jie, mod nn 可逆。 已 知 n 的 因子 分 解 可 求 * 的 值 。 因 此 ,对 于 任意 的 gE€B 和 weE 
Ze ,可 以 计算 


L(w? mod nê) _ A Cein [ra — ry, 
L(g?mod nt) ~ àlle] ~ [Te 一 [wmod” = G2) 


其 中 最 后 一 步 由 式 (3. 1) 得 。 








(定理 3-3 证 毕 ) 
用 RSA[n,e] 表 示 求 模 n We WAR, BIE Al w= y* mod n, 求 y。 
定理 3-4 Class[n] SRSA [n.n] 
证 明 : 由 引 理 3-5 可 知 ,Class[n,g] 关 于 gE€B 是 随机 自 归 约 的 , 且 1 十 n€B, 因 此 ， 
只 需 证 明 Class[”.1+-n]<=RSA[n.n]. 
假设 敌手 能 解 RSA [n,n] 问 题 ,对 于 给 定 的 wEZ;， 的 目标 是 求 eZ, hE w= 
(1+n)*y" mod n°. HH (1+n)*=1 mod n, 得 w 三 y* mod n， 由 此 可 求 出 y, 进 一 步 由 下 
式 可 求 出 x: 
ps (+a) =1+-2n mod n 
(定理 3-4 证 毕 ) 
定理 3-5 i D-Class[n] 245 Class [nn] 相关 的 判定 问题 , 即 已 知 wEZx,gEB 和 
EZ, FE r ERETT Cwl] ,那么 下 面 关系 成 立 : 
CR[n]= D-Class[n]=Class [7] 
证 明 : 因为 验证 解 比 计算 解 容易 ,D-Class[n] 寺 Class[n] 显 然 。 
EE 
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下 面 证 明 CR[n]=D-Class[n]. 

(1) 证 字 。 已 知 wEZ ,gE€B 和 xE2,, 要 判断 zz 是 否 等 于 [[wjjs, 即 判断 zz 是 否 
WE w=g" + y" mod 好 , 改 为 判断 wg "=y" mod n? , 即 判 断 wg mod n? EBH n? 
下 的 次 剩余 。 所 以 敌手 若 能 解决 CR[n] 问 题 ,就 能 解决 D-Class[n] 问 题 。 

(2) 证 守 。 即 证 明 若 敌 手 能 解 D-Class[n] 问 题 , 则 能 够 判定 w 是 否 为 n 次 剩余 。 

任 取 gEB, 将 (g,w,z 二 0) 给 ， 能 解 D-Class [nn] 问题 , 即 能 判断 是 否 [[wj]s = 
Zz 二 0。 如 果 是 ， 则 得 出 w 是 n 次 剩余 ;否则 ,w 不 是 n KAA. 




















(定理 3-5 证 毕 ) 
表 3-1 是 以 上 各 关系 的 小 结 。 
表 3-1 与 合 数 紧 相关 的 困难 问题 
H 题 fi 述 

Fact[n] 分 解 n 

RSA [nse] BA w=y mod n Ky 

Class[n] 已 知 w=g* + y" mod rn’ Rx 

D-Class [7] BA wEZ? gEBM rEZ, He r EEEF], 

CR[n] 对 we Zw ,判断 是 否 存在 yEZ, ,使 得 wy" mod n? 
它们 之 间 的 归 约 关系 为 


CR[n]= D-Class[n] Class [n] SRSA [n,n] Fact[n] 
其 中 除了 在 D-Class[n] M CR [z] 之 间 存 在 等 价 关系 外 ,其 他 问题 之 间 是 否 存 在 等 价 关 系 
还 存在 质疑 。 

猜想 ”不 存在 求解 合 数 寡 剩 余 类 问题 的 概率 多 项 式 时 间 算 法 , 即 Class [nn] 是 困难 
问题 。 

这 一 猜想 称 为 计算 合 数 剩 余 类 假设 (Computational Composite Residuosity 
Assumption,CCRA) 。 它 的 随机 自 归 约 性 意味 着 CCRA 的 有 效 性 仅 依赖 于 n 的 选择 。 
显然 ,假如 DCRA 是 正确 的 ,那么 CCRA 也 是 正确 的 。 但 是 反 过 来 ,仍然 是 一 个 公开 
问题 。 


323 基于 合 数 壤 剩余 类 问题 的 概率 加 密 方案 


以 下 加 密 方案 简称 为 Paillier 方案 1 。 
(1) 密 钥 产生 过 程 : 
KeyGen( ): 

n= pq; 

g<rB 满足 (L(g* mod n’).n)=1; 

pk=(n,g),sk= (p,q) (或 sk=A). 
D 加 密 过 程 (其 中 M<n): 
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(M): 
r&g{l2; sn} 5 
输出 gMr" mod n’. 
(3) 解密 过 程 (其 中 CT<n’): 
Ts 
L(CT mod n?) 
L(g mod n°) 
Paillier 方案 1 的 正确 性 由 定理 3-3 证 明 过 程 中 的 式 (3.2) 给 出 。 加 密 函 数 是 用 4( 等 
MF n 的 因子 ) 作 为 陷 门 的 陷 门 函数 ,其 单 向 性 是 基于 Class[n] 是 困难 的 。 
定理 3-6 Paillier 方案 1 是 单 向 的 当 且 仅 当 Class[n] 是 困难 的 。 
证 明 : 方案 中 由 密 文 计算 明文 即 是 Class[z] 问 题 。 
定理 3-7 Paillier 方案 1 是 语义 安全 的 当 且 仅 当 CR[n] 是 困难 的 。 
证 明 : 充分 性 。 反 证 ,假设 MoM, 是 两 个 已 知 消息 ,C" 是 其 中 一 个 ( 设 为 My) 的 密 
文 , 即 C' = gM) © P” mod r, Ait C g™ =r mod n° 是 nn 次 剩余 ,而 Cg Me = 
gh Mar" mod n? 是 nn 次 非 剩余 。 因 此 敌手 能 够 区 分 Co 对 应 哪个 消息 REKS n KA 
余 入 次 非 剩余 ,与 CR[n] 是 困难 的 矛盾 。 
必要 性 的 证 明 类 似 。 





mod n=M. 





(定理 3-7 证 毕 ) 
324 基于 合 数 早 剩余 类 问题 的 单 向 陷 门 置换 


以 下 方案 是 Zwx Z, 的 单 向 陷 门 置换 ,简称 为 Paillier 方案 2。 
(1) 密 钥 的 产生 。 
同 3.2. 3 节 的 密 钥 产生 过 程 。 
(2) 加 密 过 程 (其 中 M<): 
M=M,+nM.; 
输出 g M; mod n°. 
其 中 M=M, +nM, 是 将 M 分 成 两 部 分 Mi .Ms( 例 如 可 用 欧 几 里 得 除法 ) 。 
(3) 解密 过 程 (其 中 CT<): 
(CT): 
Mi 三 CCCT mod n’ ) 
L(g mod n° ) 
c =CT + g ™ mod n; 
M,=(c')" rod mod n; 
返回 M=M, +nM:. 
方案 的 正确 性 : 解密 过 程 中 的 第 1 步 得 到 M,=M mod n, 第 2 步 恢 复出 M; mod n, 
第 3 BRATHAN e=n 的 RSA 解密 ,最 后 一 步 重 组 得 到 原始 M。 
方案 2 为 置换 是 由 于 ys ZW, 置换 的 陷 门 是 的 因子 。 


mod n; 
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定理 3-8 Paillier 方案 2 是 单 向 的 当 且 仅 当 RSA [n,n] 是 困难 的 。 
证 明 : 充分 性 。 将 RSA [n.n] HE] Paillier 方案 2, 即 ,车 RSA[n,nj 是 可 解 的 , 则 
Paillier 方案 2 是 可 求 逆 的 。 若 敌手 可 解 RSA [n,n] 问 题 , 则 可 解 Class [n] 问 题 ， 由 


CT=g" M; mod n? 能 得 出 M, RẸESM; mod 好 。 由 RSA [n n] Tft, Hi ME mod n? 


gn 

可 得 M2. 

必要 性 。 将 Paillier 方案 2 归 约 到 RSA [nn], Bl, Æ Paillier 方案 2 HAY RIA. 
RSA [n,n] 是 可 解 的 。 设 敌手 BA w=y; mod n, 其 目标 是 求 yos Xit 可 求 Paillier 方 
案 2 的 道 , 即 ARH ry 及 a vb. fi w=g" + y" mod n R1l1+n=g* +b" mod mn*。 若 
zo 是 nn 的 倍数 , 则 (1 十 n= 二 1 十 zon 三 1 mod n’. 

w= yo = (la) = (gb ay = go (7 yo)" 
= grote (270% "ba yo mod n? 

其 中 第 四 个 等 式 由 aro = (axo divn)n 十 axro。 mod n 得 ,div 表示 整除 。 

因 y 是 双 射 ,所 以 azo mod n= x, go" ba yo = yo £o = x(a! mod n), yo = 
ydg "ba ) 1, 即 已 求 出 yo。 

(定理 3-8 证 毕 ) 

注意 : WY, 的 定义 ,Paillier 方案 2 RM EZ. #MẸZ: PM Hn KAZE, 
可 能 会 导致 Ms mod n 三 0, 得 密 文 为 0; 或 者 由 IM 的 因子 可 能 会 分 解 n。 因 此 Paillier 方 
案 2 不 能 用 来 加 密 小 于 nn 的 短 消息 。 

数字 签名 : H h:N {0:1} CZ 表示 喻 希 函 数 ,可 以 得 到 如 下 的 数字 签名 方案 : 

给 定 消息 M, 签 名 者 计算 签名 (Si,sz ) 为 


L(h (M)* mod n°) 


， So = (h(M)g™ ju" mià 
L(g’ mod n’ ) mod n, s (h(M) gg" ) mod n 


51 三 


验证 者 检查 : hCM)=g" s} mod n? 。 
推论 (定理 3-8 的 推论 ) 在 随机 论 言 机 模型 中 ,如 果 RSA [n,n] 是 困难 的 ,那么 该 签 
名 方案 在 适应 性 选择 消息 攻击 下 ,是 存在 性 不 可 伪造 的 。 


3.25 ”Paillier 密码 系统 的 性 质 
Paillier 密码 系统 除了 具有 随机 自 归 约 性 外 ,还 有 如 下 两 个 性 质 。 


1. 加 法 同 态 性 
加 密 函 数 M Pg“r" mod n° 在 Z, 上 具有 加 同 态 , 即 对 任意 M M: © Z, AER REN, 
以 下 等 式 成 立 : 
D(E(M)E(M;) mod n’ )= M, +M, mod n 
D (E (M) mod n? )= kM mod n 
D(E(M, )g™ mod n? )= M: +M: mod n 
D(E (M, )™® mod n’ ) = 
D(E (Mi)™ mod n°) 
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这 些 性 质 在 电子 选举 门限 加 密 方 案 .数字 水 印 、 秘 密 共 享 方案 及 安全 的 多 方 计算 等 
领域 有 重要 应 用 。 

2. Sms 

已 知 一 个 公 钥 加 密 方案 (下 ,D) , 重 加 密 RE(re-encryption) 是 指 已 知 (E,D) 的 一 个 密 
文 CT, 在 不 改变 CT 对 应 的 明文 的 前 提 下 ,将 CT 变 为 另 一 密 文 CT' ,表示 为 CT = 
RE(CT,r,pk) ,其 中 pk 是 公开 钥 ,r 是 随机 数 。 

Paillier 密码 系统 满足 这 一 性 质 。 

对 任 一 MEZ, flr © N,E(M) =E(M)E(0)=E(M)r" mod 2’, 因此 DCE(M) * 


mod n’)=M, 


3.3 Cramer-Shoup 密码 系统 





3.31 CramerShoup 密码 系统 的 基本 机 制 


设 G 是 阶 为 大 素数 q WH gg WG 的 生成 元 ,明文 消息 是 群 G 的 元 素 , 使 用 单 向 
喻 希 函 数 将 任意 长 度 的 字符 映射 到 Z, 中 的 元 素 。Cramer-Shoup 密码 系统 ( 记 为 了 如下: 
(1) 密 钥 产生 过 程 ( 其 中 本 是 哈 希 函数 集合 ) ; 
KeyGen( ) : 
glirg2 TRG; 
Ti T29 V1 2921 972R Z;; 
c= gi! g? d= gi g} h= gig? s 
H-k H; 
sk= (z1 £25 ylyyzyzlyzz), pk 一 (gl gcyd, H). 
(2) 加 密 过 程 (其 中 MEG ): 
r&r Zs 
Uy = gh su: =g; se =h"M a= H (u suz se) sv=c'd" ; 
输出 Ga suzsesv). 
(3) 解密 过 程 : 
ak (Uy ss sev): 


a=H(u, ,us +e); 





如 果 up rage ee 0, HB LL BNE e 
方案 的 正确 性 : 
H u = gisu: =g; 可 知 uu? = gr g7? =c sup uy =d", AW 
up atygete® = uhiu (u} ug )? = cd" =v 
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e e 


验证 等 式 成 立 。 又 因为 uj uk =k R= 
ujiuz h 


方案 中 ,明文 是 群 G 中 的 元 素 , 限 制 了 方案 的 应 用 范围 。 如 果 人 允许 明文 是 任意 长 的 比 
特 串 , 则 方案 的 应 用 范围 更 广 。 


332 ”Cramer-Shoup 密码 系统 的 安全 性 证 明 


设 gs 一 g?, 则 h 二 ghi1w =g]. MEN udug Sgi gh =i? 二 hr"。 所 以 加 密 
过 程 中 的 (xm ,e) 是 以 秘密 钥 x Sz Hw, ARH hS gi 的 ElGamal 加 密 算法 对 消息 
的 加 密 。 由 2. 1. 5 节 知 ,在 DDH 假设 下 ElGamal 加 密 算法 是 IND-CPA 安全 的 ,所 以 
Cramer-Shoup 密码 系统 也 是 IND-CPA 安全 的 。 密 文中 的 (xz ,v) 则 用 于 数据 的 完整 性 检 
验 ,以 防止 敌手 不 通过 加 密 算法 伪造 出 有 效 的 密 文 ,因而 获得 了 IND-CCA2 的 安全 性 。 
安全 性 的 具体 分 析 如 下 。 

方案 的 安全 性 基于 2. 1 节 介 绍 的 判定 性 Diffie-Hellman 假设 (简称 为 DDH 假设 )。 
DDH 假设 的 另 一 种 描述 是 ,没有 多 项 式 时 间 的 算法 能 够 区 分 以 下 两 个 分 布 : 

。 随机 四 元 组 尺 = (gi,gz via suz ) CG WAP. 

© 四 元 组 D= (gi,gz ,zz )EG:, 其 中 心 王 gu 一 5,r<RZ。。 

设 oa 是 尺 构 成 的 集合 ， pa 是 卫 构 成 的 集合 。 

定理 3-9 设 哈 希 函数 H 是 防 碰撞 的 , 群 G 上 的 DDH 假设 成 立 , 则 Cramer-Shoup 
密码 系统 也是 IND-CCA2 安全 的 。 

具体 来 说 ,假设 存在 一 个 IND-CCA2 敌手 以 ( ) 的 优势 攻破 Cramer-Shoup 密码 系 
统 卫 ,那么 一 定 存在 一 个 敌手 以 


Advppa( ) ~ 





=M, 


TE 
的 优势 解决 DDH 假设 。 
证 明 : 下 面 证 明 Cramer-Shoup 密码 系统 可 归 约 到 DDH 假设 。 
设 敌手 已 知 四 元 组 T=(gi ,gs viavus)EG', 以 (攻击 Cramer-Shoup 密码 系统 ) 作 
为 子 程序 ,目标 是 判断 TE pu 还 是 TE wmo EWF: 
Exp” (T) 
Zilyz2yyiyyzzlyz2<ARZo ,HH<R H; 
c= gi! g? ,d= gh g¥ ,h= gh gi; 
sk= (2) ,Tx2 ,YY2 221522) pk= (gı ,gcd,h,H). 
(Mo Mi) 一 (pk), 其 中 |M|=|M|; 
B<r {0,1} .e=ujt u} My,a= H (u ,az se) -v=up teu; 
C* = (u ue v0); 
Bix Pae" O (pk,C*); 
如 果 p =P, WGK] 1; 和 否则 返回 0. 
其 中 sece C+ RAR MFA AEM C* 访问 C+). WREE T=, WH TE 
pio WÆExp ~ (T)=0. WTEC one 
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的 优势 定义 为 安全 参数 的 函数 : 


Adv") = 1 


Prie = 81-3 





的 优势 定义 为 Advmo ( ) = + 
Adve" J; 
A 3-5 WME ,gz wtusus)E€ wm M 的 模拟 是 完备 的 。 
证 明 : Egeas) E on WA u Hei 和 ws 二 gl。 un u =e, u u =d 和 
uri =K. SRW 对 任意 消息 M 以 (g1 sg82rCrdsh, 曲 ) 为 公开 钥 加 密 得 到 e = Mh’. v= 
cd ,以 (zzayyyyyziyzz) 为 秘密 钥 可 正确 解密 ， 的 模拟 是 完备 的 。 
(断言 3-5 证 毕 ) 
断言 3-6 如果 (gi s gosuisu:) E pu, 则 在 上 述 模拟 中 的 优势 是 可 忽略 的 。 
证 明 : 该 断言 由 以 下 两 个 断言 得 到 。 
OA 3-6 当 (gi,gzviawusz)€ on 时 ， 以 不 可 忽略 的 概率 拒绝 所 有 的 无 效 密 文 。 
证 明 : 考虑 秘密 钥 (z sayoy) E24, 假 设 敌 手 此 时 有 无 限 的 计算 能 力 ,可 求 
log,, €+ logy, d Vi Blog, ve IBA 可 从 公开 钥 (gi ,gz cod sh +H) APRA A SC Ga ,us,e,v) 建 
立 如 下 方程 组 : 


Pr[Expr (T) =1] — 





|. MR Adv c p= 


loga, c = zı + wre 
log, d = yı Hwy: (3. 3) 
log, v = rizi wrez: arıyı Fawr: ye 
其 中 w=logs ge 
假设 敌手 提交 了 一 个 无 效 密 文 (wi uh ve” ev A Cay vy ses v) XE u, =g" vu, =gh š 
ri Ær, sa =H (uj suze). 
下 面 分 3 种 情况 来 讨论 : 
情况 1: Gui suzse )= Cu suse), HERY a =a, 18 v Av. A 将 拒绝 。 
情况 2: (ui eure ACG yue), 且 w 一 wx。 与 哈 希 函数 的 抗 碰撞 性 矛盾 。 
情况 3: (xie 天 (ua suse), Ha’ Aa. We 将 拒绝 ,否则 可 建立 另 一 方程 








logs, v = rizi wrrr: tar) yı + awr, yz (3.4) 
因为 
1 w 0 0 
0 0 1 w pry š 
det w lr: —ri)(ro—ri)la— ad) FO 
n Wr ar, awr: 


rı Wr2 Qari aUwre 
所 以 方程 组 (3. 3) 和 方程 (3.4) 有 唯一 解 , 即 可 求 出 秘密 钥 (zi ,zs ,yi yyz)。 
所 以 即使 有 无 限 的 计算 能 力 ,他 提交 无 效 的 密 文 使 得 接受 的 概率 是 可 忽略 的 。 
(断言 3-6“ 证 毕 ) 
言 3-6” 车 在 模拟 过 程 中 拒绝 所 有 的 无 效 密 文 , 则 的 优势 是 可 忽略 的 。 
证 明 : 考虑 秘密 钥 (zi ,zs)EZ?， 可 从 公开 钥 (g1 -g2-c.d-h, EWR F i ,zs) 的 
方程 (仍然 假定 有 无 限 的 计算 能 力 ): 
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log,, h = zi 二 wz» (3.5) 
如 果 AL AE BE Ai RE Ca ,us ve") WU FC) Ca = g gee Sh", EL 
Cui supe. v) BB Tr FE r logs, h=r zi +r wz: 仍 是 式 (3. 5)。 因 此 没有 得 到 关 
于 (zi ,zz) 的 更 多 信息 。 
在 输出 的 挑战 密 文 (i sees sev) h, A C= YM HEP yap uz ,由 此 建立 的 方程 为 
logs, 7 = r(zi + we.) (3.6) 
显然 式 (3. 5) 和 式 (3. 6) 是 线性 无 关 的 ,对 来 说 7 是 均匀 分 布 的 。 换 句 话 讲 ,e 二 YMs 
是 用 7y 对 Mg 所 做 的 一 次 一 密 ， 猜 测 8 是 完全 随机 的 。 
(断言 3-6" 证 毕 )( 断 言 3-6 TEE) 
设 事件 D AR 分 别 表示 事件 (gi ,gs ,xz su) © pH 和 (gi sg2 21 su) E DH o 
由 的 优势 及 晰 言 3-5 断言 3-6 得 |Pr[8'=8|D] 一 计 | 一 (|Pr[8'=8|R] 一 二 | 


negl(k) ,其 中 negl(k) 是 可 忽略 的 。 所 以 
Pr[p’ = B]= Pr[D]Pr[B’ = B|D]+ Pr[R]Pr[f’ = B|R] 


Lif a 
TEER }+ (G + neel >) 




















Adve ) 








Pr[p' = 8] H L| CO + negl >| 


€) 


~ 


1 
2 
得 的 优势 为 Advppa( xt ( ) 。 
(定理 3-9 证 毕 ) 


34 RSA-FDH 签名 方案 





341 RSA 签 名 方案 


签名 方案 的 定义 见 定 义 2-7 ,其 语义 安全 性 见 定义 3-4。 
定义 3-4 ”一 个 签名 方案 (SigGen,Sign,Vrfy) 称 为 在 适应 性 选择 消息 攻击 下 具有 存 
在 性 不 可 伪造 性 (Existential Unforgeability Against Adaptive Chosen Messages 
Attacks, EUF-CMA), ,简称 为 EUF-CMA 安全 ,如 果 对 任何 多 项 式 有 界 时 间 的 敌手 在 以 
下 试验 中 的 优势 是 可 忽略 的 : 
Expe ( ): 
(vk,sk)<-SigGen( ); 
(M,o)< Sex? (yk); 
设 Q 表 示 访问 签名 论 言 机 Signs(。) 的 消息 集合 ; 
如 果 Vrfyw (Mo) 二 1 人 M4Q, 返 回 1; 和 否则 返回 0. 
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其 中 可 多 项 式 有 界 次 访问 签名 论 言 机 Signs(。)。 
AY HAE MH Adve? ( ) 一 |Pr[Expg ( ) 一 1] | 。 
定义 2-8 的 方案 是 一 次 性 强 签名 方案 ,其 中 对 签名 论 言 机 Signs(。) 只 能 访问 一 次 ， 
A 即使 得 到 一 个 消息 -签名 对 ,也 不 能 伪造 这 个 消息 的 另 一 个 签名 。 
RSA 作为 加 密 算法 见 3. 1. 1 节 ,RSA 用 于 签名 算法 的 方案 如 下 。 
(1) 密 钥 产生 过 程 : 
GenRSAC ) : 
pq-GenPrime( ); 
n=pg,p(n)=(p—1)(g—1); 
HE e WE 1<e<e(n) A(g(n).e)=1; 
计算 4d ,满足 dg. e=1 mod gln) 
pk=(n,e).sk=(n,d). 
(2) 签名 ， 
Signy (M): 
o=M! mod n. 
(3) 验证 : 
Vrfyw(CM,c) : 
MWR of =M mod n 返回 1; 和 否则 返回 0. 
但 RSA 签名 体制 不 是 EUF-CMA 安全 的 , 它 的 EUF 游戏 如 下 。 
(1) 初始 阶段 。 挑 战 者 产生 系统 的 密 钥 对 pk 三 (en) ,sk 二 (d,n) ,将 pk 发 送 给 敌手 
但 保密 sk。 
(2) 阶段 1( 签 名 询问 )。 执行 以 下 的 多 项 式 q= ) 有 界 次 适应 性 询问 。 
提交 M, ,其 中 某 个 M, =r + MER ATT ;二 MY mod n(i 二 1,2,…,q) 并 返回 给 


(3) 输出 。 输出 CM,0) = (m2) ,因为 $4 三 (7YM)* mod n=rM’ mod nn, 所 以 
“t=! mod nn, 即 为 M 的 签名 。M 不 出 现在 阶段 1 H Ver(o.M.pk)=T. 


342 RSAFDH 签 名 方案 的 描述 


RSA 签名 方案 中 使 用 模 指 数 运算 ,如 果 哈 希 函 数 的 输出 比特 长 度 和 模 数 的 比特 长 度 
相等 , 则 称 该 哈 希 函数 为 全 域 哈 希 函 数 FDH (Full Domain Hash) 。 使 用 全 域 哈 希 函数 的 
RSA 签名 方案 ,简称 为 RSA-FDH 签名 方案 .在 适应 性 选择 消息 攻击 下 具有 存在 性 不 可 
伪造 性 , 即 为 EUF-CMA 安全 的 。 

FROCH DUF: 

设 GenRSA 如 前 ,函数 H:{0.1}*>{0.1}? ， 为 安全 参数 。 
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(1) 密 钥 产生 过 程 : 
SignGen( ) : 
(n-esd)<-GenRSA(C ); 
pk= (n,e); 
sk=(n.d). 
(2) 签名 过 程 (其 中 ME {0,1}"): 
Signs (M): 
h=H(M); 
输出 o=h* mod n. 
(3) 验证 过 程 : 
Vrfyy (M0): 
h=H(M); 
USE =h mod n 返回 1; 否则 返回 0. 
定理 3-10 设 互 是 一 个 随机 论 言 机 ,如 果 与 GenRSA 相关 的 RSA 问题 是 困难 的 
( 见 3.1.2 节 ), 则 RSA-FDH 方案 是 EUF-CMA 安全 的 。 
具体 来 说 ,假设 存在 一 个 EUF-CMA 敌手 以 ( ) 的 优势 攻破 RSA-FDH 方案 ， 最 
多 进行 qu KH 询问 ,那么 一 定 存在 一 个 敌手 至 少 以 
©) 


Adv®4(k) > Caz 
的 优势 解决 RSA 问题 ,其 中 e 是 自然 对 数 的 底 。 

证 明 : I Hy EUF 游戏 如 下 。 

(1) 挑战 者 运行 GenRSAC ) 得 到 (mn,e,d) ,选取 一 个 随机 函数 H., MF 得 到 公开 
A (nse). 

(2) MF 可 以 向 挑战 者 询问 了 H(，) 和 对 消息 的 签名 , 当 请 求 消息 M 的 签名 时 , 挑 
战 者 向 7 |B] =H (M)* mod n, 

G) ”输出 一 个 消息 -签名 对 (M,o), 其 中 之 前 没有 请 求 过 消息 M 的 签名 。 如 果 
0 三 H(M) mod n, 则 敌手 攻击 成 功 。 

下 面 证 明 RSA-FDH 方案 可 归 约 到 RSA 问题 。 

敌手 已 知 (n,e,y* ), 其 中 y* 是 Z; 上 均匀 随机 的 。 以 (攻击 RSA-FDH 方案 ) 作 为 
子 程序 ,目标 是 计算 (y* )* mod n。 

分 析 : ”车 能 得 到 某 个 0 [EE =y" mod nn, 则 oo 三 (y*)%* modn。 由 0 三 y* mod n 
AE y 是 某 个 消息 M 的 哈 希 函数 值 , 则 o 为 这 个 消息 的 签名 。(M,o) 由 敌手 产生 ,但 
H(M) rH Æ, Mik HOM) =y. 在 将 y 取 为 某 个 消息 的 哈 希 值 时 ,并 不 知道 对 哪 
个 消息 产生 伪造 的 签名 ,所 以 要 做 猜测 ( 的 第 j RH 询问 对 应 着 最 终 的 伪造 结果 ) 。 

为 了 简化 ,不 失 一 般 性 ,我 们 假设 : @ 不 会 对 有 (MD 发 起 两 次 相同 的 询问 ; @ 如 果 
请 求 消息 M 的 一 个 签名 , 则 它 之 前 已 经 询问 过 HO); OMR 输出 CM,c) , 则 它 之 前 已 
经 询问 过 H(M)。 

归 约 过 程 如 下 : 
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(1) HARA. a 且 随 机 选择 j<-k{1,2,… ,qn}。j 是 的 一 个 猜测 值 : 的 第 
JURA 询问 对 应 着 最 终 的 伪造 结果 。 

(2) 五 询问 (最 多 进行 qn 次) 。 建立 一 个 HW* ,初始 为 空 ,元 素 类 型 为 三 元 组 (M;， 
oy) ,表示 已 经 设置 H(M;)=y;-0;'=y; mod n, 4 发 起 第 i 次 询问 ( 设 询问 值 为 
Mi) 时 ， 如 下 回答 

。 如 果 i 二 j, 返 回 y* 。 

。 否则 ,选取 一 个 随机 值 6;<kZ; ,计算 y=; mod n, 以 y: 作为 对 该 询问 的 应 答 ,并 

在 表 中 存储 (M; ,6;,y;)。 

(3) 签名 询问 (最 多 进行 gn 次 )。 当 请 求 消息 M 的 一 个 签名 时 , 设 i 满足 M=M;， 
M: 表示 第 i 次 日 询问 的 询问 值 。 如 下 回答 该 询问 : 

。 WR i 去 j, 则 HY 中 有 一 个 三 元 组 (Mi ,yy ) ,返回 6;。 

。 WR i=j WPH, 

(4) 输出 : 输出 CM,o)。 如 果 M 关 Mi ， 中 断 ; 否 则 如 果 M=M; Ho=y" mod n, 
输出 c。 

断言 3-7 在 以 上 过 程 中 ,如 果 不 中 断 , 则 的 模拟 是 完备 的 。 

证 明 : 当 猜测 正确 时 ， 在 上 述 归 约 中 的 视图 与 其 在 真实 攻击 中 的 视图 是 同 分 布 的 。 
这 是 因为 以 下 两 点 。 

A) 的 gn 次 旦 询问 中 的 每 一 个 都 是 用 随机 值 来 回答 的 : 

。 对 M; 的 询问 是 用 y "来 应 答 的 ,其 中 y 是 Z; 中 均匀 分 布 的 。 

。 对 Mi; (i 去 j ) 的 询问 是 用 y=; mod n 来 应 答 的 ,其 中 o; 是 从 Z,; 中 均匀 随机 选取 

的 ,yi EZ, 中 也 是 均匀 分 布 的 。 

在 真实 攻击 中 ,H 被 视 为 随机 论 言 机 。 所 以 的 互 询 问 的 应 答 和 真实 攻击 中 的 应 答 
是 同 分 布 的 。 

(2) ”对 Mi(i 冯 站 的 签名 询问 得 到 的 应 答 o; 满足 of mod n=y,=H(M,) mod n, 是 有 
效 的 。 

所 以 在 上 述 归 约 中 的 视图 与 其 在 真实 攻击 中 的 视图 是 同 分 布 的 , 即 的 模拟 是 完 
备 的 。 

(断言 3-7 证 毕 ) 

车 的 猜测 是 正确 的 , 且 输出 一 个 伪造 , 则 就 解决 了 给 定 的 RSA 实例 ,这 是 因为 
=y" mod n,o 即 为 (y* )'* mod n, 

的 成 功 由 以 下 3 个 事件 决定 : 

1: 在 的 签名 询问 中 不 中 断 。 

2: 产生 一 个 有 效 的 消息 -签名 对 (M,c) 。 

3: 2 发 生 且 M 对 应 的 三 元 组 (Mi;,o; ,yi ) 中 下 标 i==j。 

Pr[ =(2- 二 ,ex alJ en 一 二 所 以 
的 优势 为 


Pri i 3J = Pri Pr a] JP 3 | 1 2] 人 z)" 1 ( ) 之 1 € 2 
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343 RSAFDH 签名 方案 的 改进 


对 方案 的 改进 考虑 的 是 归 约 的 效率 ,定理 3-11 给 出 了 一 种 更 紧 的 归 约 。 

定理 3-11 i HÆ AMA A BL. WRG GenRSA 相关 的 RSA 问题 是 困难 的 ， 
则 RSA-FDH 方案 是 EUF-CMA 安全 的 。 

具体 来 说 ,假设 存在 一 个 EUF-CMA 敌手 以 ( ) 的 优势 攻破 RSA-FDH 方案 ， 最 
多 进行 an KWH W q 次 签名 询问 ,那么 一 定 存在 一 个 敌手 至 少 以 


Adv®4(k) > 2 
eds 


的 优势 解决 RSA 问题 。 

证 明 : 归 约 过 程 修改 如 下 : 

(1) 将 公开 钥 (n,e) 给 。 

(2) 询问 (最 多 进行 gy K): 建立 一 个 H*, 初 始 为 空 ,元 素 类 型 为 四 元 组 
(Mioyo) RIR BARE H(M,)=y;.0;°=y; mod n。 当 发 起 一 次 询问 ( 设 询问 值 
为 MD 时， 如 下 回答 : 

O 如 果 H™ 中 已 有 与 M 对 应 的 项 (Mi,oisyivci), 则 以 yi 应 答 。 

@ 否则 ， 随 机 选择 一 个 c;<-k {0,1} 并 设 Pr[c; 二 0]==6(6 的 值 待定 )。 

。 如 果 c= 二 0, 返 回 y"。 

© 否则 ,选取 一 个 随机 值 6.<-rZ; ,计算 yo) mod n, VA y: 作为 对 该 询问 的 应 答 ,并 

在 表 中 存储 (Mi s0: Yisc) o 

(3) 签名 询问 (最 多 进行 g, 次 )。 当 请 求 消息 M 的 一 个 签名 时 ， 在 HH 查找 项 
(M; 16; +9; +¢:) ,使 得 M;=M. 

。 如 果 ci 天 0, 则 返回 mi。 

。 如 果 c = 一 0, 则 中 断 。 

(4) 输出 。 输出 CM,o)。 在 HH“ 中 查找 M 对 应 的 四 元 组 (M,c,y,c) ,如果 CAO, 
中 断 ; 否 则 输出 o。 

上 述 归 约 过 程 中 ,c; 就 是 的 猜测 :c; 二 0 对 应 的 四 元 组 中 的 M 是 最 终 要 伪造 签名 的 
消息 ,ci 在 四 元 组 (Mi ,oi; ,yi,ci) 中 的 作用 就 是 一 个 标识 符 。 

的 成 功 由 以 下 3 个 事件 决定 : 

1: 在 的 签名 询问 中 不 中 断 。 

2: ”产生 一 个 有 效 的 消息 -签名 对 (M,o)。 

3: 2 发 生 且 M 对 应 的 四 元 组 (M,o,y,c) 中 c==0。 

Pr[ 1 J=(1—6)*-Prl 2| 1]= € ), 而 PrL ;| 1 2J=Prie=0] 1 sj] 二 6。 所 以 成 功 
的 概率 为 Pr[ i 3] 二 Pr[ 1jPr[L :| 1jPr[L :| 1 :J 二 (1 一 6)*6。 将 (1 一 6)*6 看 作 6 的 


We E yas aie a go OS 
函数 ,可 求 出 B= it. (1 一 6)% 9 ABM A Ts- 。 
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mm 密码 学 中 的 可 证 明 安 全 性 m 


(定理 3-11 证 毕 ) 
通常 q< <qu> mu- > 定理 3-11 的 归 约 要 比 定理 3-10 的 归 约 紧 。 


35 BLS ae 方案 





RSA 和 DSA 是 最 常用 的 两 个 签名 方案 ,但 二 者 的 签名 长 度 过 大 。 例 如 当 使 用 一 


1024 比特 长 的 模 数 时 ,RSA 的 签名 长 度 为 1024 比特 ,DSA 的 签名 长 度 为 320 比特 ,DSA 
在 椭圆 曲线 上 的 实现 其 签名 长 度 也 是 320 比特 ,320 比特 的 签名 对 于 人 工 输入 来 说 太 长 
了 。 本 节 介 绍 的 BLS 短 签 名 方案 其 签名 长 度 大 约 是 170 比特 ,但 它 的 安全 性 与 DSA 320 
比特 长 签名 的 安全 性 是 相同 的 。 


351 BLS 短 签名 方案 所 基于 的 安全 性 假设 


BLS 短 签 名 方案 外 的 安全 性 基于 循环 乘法 群 上 的 CDH 问题 的 困难 性 假设 。 

BG =(g) ER NRA q 的 循环 群 ,g 是 G 的 生成 元 。 

G 上 双 线 性 映射 2 的 双 线性 为 : 对 于 a,bE Zs Helg g’) elgg)” 

DDH 问题 的 另 一 种 描述 : 已 知 四 元 组 D= (gg su) EG HEP gig: WG 的 


生成 元 ,一 好, 一 好 (ec,8EZ。) ,判断 是 否 a=k. 


如 果 wx=B8, 则 称 四 元 组 D= (gg wia sw ) 为 DH 四 元 组 。 

利用 G 上 的 双 线 性 映射 :很 容易 解决 DDH 问题 。 已 知 D= (gi,gz +01 su) EG" W 
a= Pe (g1 suz )=e (2+) 

CDH 问题 是 : BA D= (ggh) EG it he, 

如 果 G 上 的 DDH 问题 是 容易 的 ,但 CDH 问题 是 困难 的 ,G 就 称 为 间隙 群 。 

注 : 仅 当 G 是 超 奇 异 椭圆 曲线 上 的 点 群 时 ,E 才 可 构造 ,从 而 使 得 G 上 的 DDH MMR 


得 容易 。 否 则 ,G 上 的 DDH 问题 仍 是 困难 的 , 见 2.1.5 节 。 
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352 ”BLS 短 签名 方案 描述 


设 G ALIA BRA. H: (0,1) 一 G 是 全 域 哈 希 函数 。 
(1) 密 钥 产生 过 程 : 
SignGen( ) : 
We 
y=g EG; 
sk 一 工 ,pk 一 y. 
(2) 签名 过 程 (其 中 ME {0,1}: 
Signy (M): 
h=H(M); 
输出 o=h* EG. 


en 第 3 章 几 类 语义 安全 的 公 钥 密码 体制 ”mm 


(3) 验证 过 程 : 
Vrfy (M0): 
h=H(M); 
如 果 (g,h,y,o) 为 DH 四 元 组 ,返回 1; 和 否则 返回 0. 
定理 3-12 设 瑟 是 一 个 随机 论 言 机 ,如 果 G 是 一 个 间隙 群 , 则 BLS 短 签名 方案 Sig 
是 EUF-CMA 安全 的 。 
具体 来 说 ,假设 存在 一 个 EUF-CMA 敌手 以 ( ) 的 优势 攻破 短 签名 方案 ， 最 多 进 
行 or 次 互 询 问 ,那么 一 定 存在 一 个 敌手 至 少 以 


Advcoa( )> 


equ 





的 优势 解决 CDH 问题 。 

证 明 : Sig 的 EUF 游戏 与 RSA-FDH 的 EUF 游戏 类 似 。 

下 面 证 明 BLS 短 签名 方案 可 归 约 到 群 G 上 的 CDH 问题 。 

敌手 已 知 (g,u=g*,h), 以 〈 攻 击 BLS 短 签名 方案 ) 作 为 子 程序 ,目标 是 计算 he, 

与 RSA-FDH 相同 ,我 们 假设 : O 不 会 对 随机 论 言 机 发 起 两 次 相同 的 询问 ; @ 如 果 

请 求 消息 M 的 一 个 签名 , 则 它 之 前 已 经 询问 过 HOM); QWR 输出 (M,c) WE Zi 
已 经 询问 过 HUM). 

分 析 : 将 w=g" 看 做 自己 的 公开 钥 ,a 为 秘密 钥 ( 其 实 不 知 a) Wha 为 对 某 一 消 
息 的 签名 , 即 o==HCMD== 如 ,其 中 (CM,o) 由 伪造 产生 。 可 将 作为 某 一 消息 M; 的 哈 
希 函 数值 ,但 并 不 知道 对 哪个 消息 伪造 签名 ,所 以 要 猜测 。 

实际 证 明 时 ,希望 将 问题 实例 (g,u 二 g*,h) 隐 藏 起 来 ,所 以 先 选 一 个 随机 数 ,以 
u。g" 作 为 公开 钥 发 送 给 。 

归 约 过 程 如 下 : 

(1) 将 群 G 的 生成 元 g MAF u g EG 发 送 给 ,其 中 rkZoyu*g' =e HY 
应 的 秘密 钥 是 a 十 +-。 此 外 随机 选择 jE {1,2,… ,gn) 作 为 它 的 一 个 猜测 值 ， 的 这 次 H 
询问 对 应 着 最 终 的 伪造 结果 。 

(2) H 询问 (最 多 进行 gn 次 )。 建立 一 个 H™ ,初始 为 空 ,元 素 类 型 为 三 元 组 (M;， 
yb)。 当 发 起 第 i 次 询问 ( 设 询问 值 为 M;) 时 ， 如 下 回答 : 

O WR A POA M; 对 应 的 项 (CM; y: sb) WA y; 应 答 。 

@ 否则 ， 随 机 选择 一 个 bitrZ o 

。 WH i=j WA y; 二 hg* EG. 

。 否则 ,计算 y= EG. 

以 y; 作为 对 该 询问 的 应 答 ,并 在 表 中 存储 (Mi; > ysb) o 

G) 签名 询问 (最 多 进行 gs 次 )。 当 请 求 消息 M 的 一 个 签名 时 , 设 i WE MSM, 
M: 表示 第 i H 询问 的 询问 值 。 如 下 回答 该 询问 : 

。 如 果 ij W 态 和 于 中 有 一 个 三 元 组 (Mi; ,yi,0;) Fo = (ug "FU; MA 。 因 

H o= ug)" = gh =? ,所 以 6 为 以 秘密 钥 a 十 r 对 Mi; WER. 

。 如果 i 二 j, 则 中 断 。 
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(4 输出 。 MHM.. 如果 MAM, ， 中 断 ;否则 HBA ae EON hs BOE 
因为 





o ypt (hgs y+" hetrghatr hêh” (gg =hth"ut gi" 
B38 在 以 上 过 程 中 ,如 果 不 中 断 , 则 的 模拟 是 完备 的 。 

证 明 : 当 猜测 正确 时 ， 在 上 述 归 约 中 的 视图 与 其 在 真实 攻击 中 的 视图 是 同 分 布 的 。 
这 是 因为 以 下 两 点 。 

(1) ”的 gn 次 日 询问 中 的 每 一 个 都 是 用 随机 值 来 回答 的 ,对 Mi(i 王 1.2,…,qz) 的 
应 答 如 下 : 

© 4i=j 时 是 用 y; 二 hg*€G 来 应 答 的 ,由 4; 的 随机 性 , 知 w 是 G 中 均匀 分 布 的 。 

。 4iAj EN y: =g" EG 来 应 答 的 ,同样 y; 也 是 G 中 均匀 分 布 的 。 

在 真实 攻击 中 ,H 被 视 为 随机 论 言 机 。 所 以 的 互 询问 的 应 答 和 真实 攻击 中 的 应 答 
是 同 分 布 的 。 

(2) 对 Mi(i 考 站 的 签名 询问 得 到 的 应 答 , 是 由 公开 钥 u*g" 二 gr"( 已 获得 ) 所 对 
应 的 秘密 钥 a 十 r 签名 的 ,所 以 得 到 的 签名 应 答 是 有 效 的 (相对 于 它 得 到 的 公开 钥 
而 言 )。 

所 以 在 上 述 归 约 中 的 视图 与 其 在 真实 攻击 中 的 视图 是 同 分 布 的 , 即 的 模拟 是 完 
备 的 。 





(断言 3-8 证 毕 ) 

E 的 猜测 是 正确 的 , 且 输出 一 个 伪造 , 则 就 在 第 (4) 步 解决 了 给 定 的 CDH 实例 。 
的 优势 与 定理 3-10 的 证 明 相同 。 

(定理 3-12 证 毕 ) 


353 BLS 短 签名 方案 的 改进 一 


对 方案 的 第 一 种 改进 考虑 的 是 归 约 的 效率 ,定理 3-13 给 出 了 一 种 更 紧 的 归 约 。 

定理 3-13 设 瓦 是 一 个 随机 论 言 机 ,如 果 G 是 一 个 间隙 群 , 则 BLS 短 签名 方案 Sig 
是 EUF-CMA 安全 的 。 

具体 来 说 ,假设 存在 一 个 EUF-CMA 敌手 以 ( ) 的 优势 攻破 短 签 名 方案 ， 最 多 进 
47 qu KH itll q 次 签名 询问 ,那么 一 定 存在 一 个 敌手 至 少 以 

Advcp( )> 

的 优势 解决 CDH 问题 。 

证 明 : 改进 方法 与 定理 3-11 类 似 。 


354 BLS 短 签名 方案 的 改进 二 


为 了 获得 短 签 名 ,需要 使 用 第 二 类 双 线 性 映射 ( 见 1.1.12 节 ) 。 

第 二 类 双 线 性 映射 形 如 z: Gi XG 一 Gz, 其 中 G1、G: 和 Gr 都 是 阶 为 g WH. GB 
G1 有 一 个 同 态 映 射 p: GG ,满足 Vsgs) 一 8 ,其 中 gs 和 ge 分 别 是 G1 和 Gs, 上 的 固定 
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生成 元 。G1 中 的 元 素 可 用 较 短 的 形式 表达 。 因 此 在 构造 签名 方案 时 ,把 签名 取 为 G1 中 的 
TER ,可 得 短 的 签名 。 

其 上 的 DDH 问题 ( 称 为 协 DDH,(co-DDH) 问 题 ) 如 下 : GH ggs Gr hCG. 
判断 是 否 a=. WMR 一 8, 则 称 四 元 组 (gs ,gi hh?) Jy co-DDH 元 组 。 

AFG, XGs 双 线性 映射 2 可 容易 地 解决 co-DDH 问题 : 已 知 (gs ,8 hh?) 

a 一 2( 8g3) 一 2Che gz) 

其 上 的 CDH 问题 ( 称 为 协 CDH(Cco-CDH) 问 题 ) 如 下 : GH go,g; EGK hEG WH 
jEGi。 

WEG, XG。 上 的 co-DDH 问题 是 容易 的 ,但 co-CDH 问题 是 困难 的 ,G1 XG, 就 称 为 
Val BR AF ZH 

WG, XG, EMA BR ARAL (0.1) * 一 Gi 是 全 域 哈 希 函数 。 改 进 后 的 方案 如 下 。 

(1) 密 钥 产生 过 程 : 


SigGen( ): 
TAR Los 
y=g EG: 
sk=z,pk=y. 
(2) 签名 过 程 (其 中 ME {0.1}”): 

Signy (M): 
h=H(M)EG:; 
输出 o=h*EG,. 

(3) 验证 过 程 : 
Vrfy (M.o): 
h=H(M€G,; 


MWR (go yho) 8 co-DH 四 元 组 ,返回 1; 和 否则 返回 0. 
因为 签字 是 G, 中 的 元 素 , 而 G, 可 以 使 用 168 比特 长 的 椭圆 曲线 实现 ,因此 获得 了 
短 签 名 。 
方案 的 安全 性 证 明 与 定理 3-11 至 定理 3-13 类 似 。 


36 抗 密 钥 泄露 的 公 钥 加 密 系统 





361 抗 泄露 密码 体制 介绍 


传统 的 加 密 方 案 依赖 于 如 下 假定 : 诚实 参与 方 的 内 部 状态 对 攻击 者 来 说 是 完全 保密 

的 。 但 是 攻击 者 可 能 会 通过 各 种 边 信道 攻击 (如 时 间 攻 击 . 电 源 耗损 , 冷 启动 攻击 及 频谱 

分 析 等 “7 ) 获 得 诚实 参与 方 的 内 部 状态 ,这 种 攻击 称 为 泄露 攻击 。 在 泄露 攻击 下 , 现 有 
的 许多 可 证 明 安全 的 密码 方案 在 实际 系统 中 不 再 保持 其 所 声称 的 安全 性 。 

Akavia 等 首先 引入 了 密 钥 泄 露 的 概念 喇 。 为 了 刻画 泄露 ,假定 有 一 个 泄露 论 言 机 ， 

87 


mm 密码 学 中 的 可 证 明 安 全 性 m 


敌手 可 以 针对 用 户 的 密 钥 自 适应 地 对 论 言 机 进行 询问 ,但 是 为 避免 敌手 获得 秘密 信息 的 
全 部 内 容 , 所 设计 的 系统 必须 考虑 系统 所 能 容忍 的 泄露 数量 ,为 此 对 攻击 者 所 获得 的 泄露 
信息 的 数量 必须 加 以 限定 , 即 系统 秘密 信息 的 泄露 量 满足 泄露 率 的 限制 。 

根据 泄露 论 言 机 的 输出 长 度 , 将 泄露 模型 划分 为 3 种: 

(1) 有 界 泄露 模型 "下 。 模 型 中 泄露 论 言 机 输出 长 度 的 总 和 不 能 超过 预先 设 定 的 边 
界 值 ,该 模型 又 称 为 输出 长 度 缩减 模型 。 

(2) 炉 缩 减 模型 ("1 。 模 型 中 允许 泄露 论 言 机 的 输出 长 度 大 于 密 钥 长 度 , 但 是 密 钥 
最 小 箭 的 损失 必须 小 于 预先 的 设 定 值 ,该 模型 又 称 为 噪声 泄露 模型 。 

(3) 辅助 输入 泄露 模型 ”29 。 模 型 中 敌手 所 提供 的 泄露 函数 对 于 安全 参数 来 说 在 计 
算 上 是 不 可 逆 的 ,该 模型 又 称 为 不 可 逆 泄露 模型 。 

根据 泄露 信息 的 来 源 , 将 敌手 的 攻击 模型 划分 为 两 种 : 

(1)“ 唯 计算 泄露 ”(Only Computation Leak, OCL) 模型 。 该 模型 由 Micali 和 
Rayzin 引入 , 即 仅 参与 计算 的 存储 器 才 可 能 产生 信息 泄露 Co 。 

(2)“ 存 储 泄露 ”模型 。 由 Akavia 引入 , 即 只 要 信息 泄露 不 超过 系统 的 泄露 率 , 敌 手 
就 可 在 任何 时 刻 获得 用 户 秘密 状态 的 泄露 信息 中 。 

本 节 仅 介绍 有 界 泄 露 模型 中 敌手 仅 进 行 “ 唯 计 算 泄露 ”攻击 下 的 公 钥 加 密 系统 P9 。 


1. 随机 提取 器 
设 X 和 Y 是 取 值 于 2( 有 限 ) 上 的 两 个 随机 变量 ,X 和 Y 之 间 的 统计 距离 定义 为 
SD(X,Y) = +> |Prlx x]— PILY = zx]| 


EN 

性 质 1 设 f 是 上 的 (随机 化 ) 函 数 ,那么 SD(f(X),f(Y)) 三 SDCX,Y), 当 且 仅 当 
了 是 一 一 对 应 的 ,等 号 成 立 。 换 句 话说 ,将 函数 应 用 到 两 个 随机 变量 上 ,不 能 增加 这 两 个 
随机 变量 之 间 的 统计 距离 。 

性 质 2 统计 距离 满足 三 角 不 等 式 , 即 SD(X ,2Z) 志 SD(X,Y) 十 SD(Y,2)。 

如 果 两 个 随机 变量 的 统计 距离 至 多 为 , 则 称 它们 是 -接近 的 。 

随机 变量 X WYRE H(X) = —log(max, Pr[X=x]) ,其 中 对 数 以 2 为 底 。 

已 知 随机 变量 Y,X WFH Se aE SO A. CX |) = — log (Ey (2-H OY ))。 
它 刻 画 了 已 知 Y 时 ,X 剩 下 的 不 可 预测 性 。 

引 理 3-700 WR Y A 2" 个 可 能 的 取 值 ,Z 是 任意 一 个 随机 变量 , 则 有 


H.(X | DD 
定义 3-57) 设 函 数 Ext: (0.1}"& {0,1} >(0.1}™, WEIHER AY BLE ROX AT 


WR X€(0.1)" MHo(X|DSk. A 
SDCExt(X+S).S+D+(Un+SsD) < 
其 中 S 是 {0,1)* 上 的 均匀 随机 变量 , 则 称 函数 Ext 是 平均 情况 下 的 (&，)- 强 提取 器 。 
Dodis 等 人 证 明了 任何 一 个 强 提取 器 事实 上 是 一 个 平均 情况 下 的 强 提 取 器 。 
引 理 3-855 对 于 任意 56>0, 若 函数 Ext 是 一 个 最 差 情况 下 的 (& 一 log(1/6)，)- 强 
提取 器 ,那么 它 也 是 平均 情况 下 的 (&, 十 0) - 强 提取 器 。 
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引 理 3-9 是 剩余 哈 希 引 理 的 一 个 变形 ,说 明 两 两 独立 的 哈 希 函数 族 是 一 个 平均 情况 
下 的 强 提取 器 。 

313-9 设 随 机 变量 XY, 满足 XE{0,1)" MAHA (X|YSk. MIE 是 从 {0,1)” 
到 {0,1}” 的 两 两 独立 的 哈 希 函数 族 , 即 :{0,1)" 一 {0,1)”", 则 对 于 及 <-k ,只 要 m<k— 
2log(1/ ) ,就 有 SDCCY A ACX)) CY AUIS 。 


2. 通用 投影 哈 希 函 数 

设 X 和 区 是 两 个 有 限 非 空 集合 , 豆 二 (Hi)iex 是 一 个 指标 集 为 K 的 函数 集合 ,对 每 
一 个 kEK,H 都 是 X 到 卫 PAR. HER. ARE ETE RAR (AE H= H 的 情况 。 称 
四 元 组 二 (H ,K,X, 卫 ) 为 喻 希 函 数 族 , 称 每 个 H; 蚌 哈 希 函 数 。 如 果 在 上 下 文中 XI 
及 开 都 很 明确 , 则 直接 称 吾 = CH, ) pec SE MA Air PAROK o 

HEM 3-6") 设 =(H ,K,X, 卫 ) 是 哈 希 函数 族 , 对 k<-kK rr RX WR FA 
ZX* A, (x) Al Ayo" ) 在 世上 是 独立 均匀 的 , 则 称 是 两 两 独立 的 。 

EX 3-777 设 =(H ,K,X, 丰 是 喻 希 函 数 族 ,L 是 X 的 非 空 真子 集 ,S 是 一 个 有 
限 的 非 空 集合 ,a:K 一 S 是 一 个 函数 , 记 元 组 =H ,K,X, L,I, S.a), WRIA 


ROK Ay 在 L 上 的 输出 都 能 够 由 a(k) 确 定 , 则 称 ” 、 n 
该 元 组 为 通用 投影 哈 希 函数 族 。 CC 一 一 人) 
换言之 ,对 所 有 的 kEK,a(k) 决 定 了 Hi 在 L 
上 的 输出 。 
如 图 3-2 Bat. Hi:L>H(L) CO H a 决定 ， £ S 
al(k) 可 看 作 是 Hi 的 投影 , 称 为 投影 密 钥 。 3-2 ”通用 投影 哈 希 函数 族 


EX 3-8) 设 =(H ,K,X,L,Ii,S,a)® 
一 个 通用 投影 哈 希 函数 族 , 三 0 是 一 个 实数 ,k<-rK ,如 果 对 所 有 的 ES,zEXAL M rE 
卫 , 以 下 不 等 式 成 立 : 

Pr[ H, (2) =x A alk) =s]< Pr[alk)=s] 

则 称 为 -通用 的 ( -universal) 。 

FE L ie YES- 实 例 集合 ,X\L 是 NO- 实 例 集合 。 

如 果 对 所 有 的 sSES,z,z* EX Man” CMH ELU fx" }, 以 下 不 等 式 成 立 : 

Pr[Hi(x) =a A H, (x* =x" Nalk)=s]< Pr[HiCz*)=x Nak) =s] 

则 称 为 第 二 类 -通用 的 ( -universal: ) 。 

注意 , 当 |X| 三 2 时 ,如 果 Æ -universal, 的 ,那么 也 是 -universal 的 。 

换个 角度 来 理解 定义 3-8。 由 概率 的 乘法 公式 可 得 

Pr[ Hi (a) =x \a(k) =s] =Pr[a(k) =s]Pr[ Hy (2) =a| alk) =s] 

所 以 Pr[ H, (2) =a A alk) =s]< Pr[alk)=s] EMF Pr[Hi(ad=alalk)=sJR 。 = 
(H .K,X,L,1,S.a) 4 -universal 的 含义 如 下 : BPR ee L 时 ,Hi(zx) 被 alk) HAE AB 
re X\L 时 ,即使 给 定 alk), He(Cz) 的 值 被 猜测 到 的 概率 也 不 超过 。 类 似 地 得 - 
universal, 的 含义 : 已 知 a(k) 和 H, (a* )(zx* EX\L), 对 任意 xzEX\L,H (a) Ea 
测 到 的 概率 不 超过 。 
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总 结 : 通用 投影 哈 希 函数 说 由 投影 密 钥 能 确定 YES- 实 例 的 哈 希 函数 值 , 它 的 -通用 
性 说 投影 密 钥 不 能 确定 NO- 实 例 的 哈 希 函数 值 ,第 二 类 通用 性 说 , 既 使 已 知 一 个 NO- 实 
例 的 哈 希 函数 值 ,由 投影 密 钥 也 不 能 确定 其 他 NO- 实 例 的 哈 希 函数 值 . 


3. 密 钥 封装 机 制 


密 钥 封装 机 制 (Key Encapsulation Mechanism,KEM) 是 一 个 密码 原 语 55 ,其 主要 目 
的 是 在 通信 的 双方 (发 送 方 和 接收 方 ) 之 间 安 全 地 传递 一 个 随机 会 话 密 钥 。 在 实际 应 用 
中 ,通信 双方 通常 是 用 对 称 加 密 算 法 加 密 要 传输 的 消息 ,而 用 公 钥 加 密 算 法 加 密 对 称 加 密 
算法 所 用 的 秘密 钥 。 然 而 因为 对 称 加 密 算法 所 用 的 秘密 钥 通 常 比较 短 , 在 用 公 钥 加 密 算 
法 对 其 加 密 前 , 需 对 其 进行 填充 。 密 钥 封 装机 制 可 以 简化 上 述 过 程 ,会 话 密 钥 由 发 送 方 选 
择 一 个 随机 比特 串 , 然 后 对 这 个 随机 串 使 用 哈 希 函数 得 到 。KEM 的 模型 有 以 下 3 个 
算法 : 
(1) 密 钥 产 生 算法 KeyGen( )。 输 入 安全 参数 CZ* ,输出 公开 钥 -秘密 钥 对 (pk,sk) 。 
(2) 封装 算法 Encap(pk)。 输 入 公开 钥 pk, 输 出 一 个 密 文 C 和 一 个 会 话 密 钥 KK , 表 
示 为 (C,K) 二 Encap(pk), 称 C 是 对 K 的 封装 。 
(3) 解 封装 算法 Decap(sk,C)。 输 入 秘密 钥 sk 和 密 文 C, 输 出 会 话 密 钥 ,表示 为 
天 一 Decap(Csk,C) 。 
【 例 3-1] 使 用 RSA 的 KEM 方案 。 
(1) 密 钥 产生 算法 KeyGen( ) 与 RSA 方案 相同 。 
(2) 封装 算法 Encap(pk)。 
Encap(pk): 
r&r[0n—1]; 
C=r mod n; 
K=KDF(r); 
输出 CHK. 
其 中 KDF 称 为 密 钥 导出 函数 ,例如 可 取 为 密码 哈 希 函数 。 
(3) 解 封装 算法 Decap(sk.C) 
Decap(sk.C) : 
r=C" mod n; 
K=KDF(r). 
密 钥 封 装 中 的 适应 性 选择 密 文安 全 的 概念 ,除了 挑战 密 文 不 是 对 两 个 等 长 的 消息 加 
密 外 ,其 他 均 与 加 密 方案 类 似 。 在 挑战 阶段 ,挑战 者 选取 Bp<-k{0,1} ,并 且 将 挑战 密 文 C* 
和 一 个 比特 串 K* 发 送 给 敌手 。 其 中 K* 如 下 产生 : 如 果 Bp 二 1,K* 是 用 密 文 C* 封装 的 会 
话 密 钥 ;如 果 B 二 0,K" 取 为 随机 比特 串 。 敌 手 进行 适应 性 的 解 封装 询问 (除了 挑战 密 文 
C*) ,输出 对 有 的 猜测 B“。 
称 上 述 交互 为 KEM-CCA2 游戏 。 敌 手 的 优势 定义 为 


Adv™( y= [Pg =g] 
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如 果 对 PPT 的 ,Adv™™( ) 是 可 忽略 的 , 则 称 KEM 方案 是 KEM-CCA2 安全 的 。 


4. 哈 希 证 明 系 统 

本 节 从 密 钥 封装 机 制 的 角度 考虑 哈 希 证 明 系 统 , 把 哈 希 证 明 系 统 看 作 密 钥 封 装机 制 ， 
密 文 由 两 种 不 同 的 模式 生成 。 第 一 种 模式 称 为 有 效 密 文 , 是 对 称 密 钥 的 封装 。 也 就 是 说 ， 
给 定 公 钥 和 有 效 的 密 文 , 则 实际 上 确定 了 被 封装 的 密 钥 , 该 密 钥 能 够 用 秘密 钥 进行 解 封 
装 。 此 外 ,有 效 密 文 的 生成 过 程 也 生成 了 一 个 用 于 证 明 该 密 文 是 有 效 的 “证 据 *。 第 二 种 
模式 生成 的 密 文 称 为 无 效 密 文 , 它 不 包含 关于 被 封装 密 钥 的 任何 信息 。 也 就 是 说 ,给 定 公 
开 钥 和 无 效 密 文 , 被 封装 密 钥 的 分 布 几 乎 是 完全 均匀 的 。 无 效 密 文 的 产生 是 通过 在 秘密 
钥 中 引入 宛 余 信息 ,使 得 每 个 公开 钥 都 有 许多 秘密 钥 相 对 应 。 唯 一 的 计算 要 求 是 两 种 模 
式 在 计算 上 是 不 可 区 分 的 , 即 任何 已 知 公开 钥 的 敌手 都 不 能 以 不 可 忽略 的 优势 区 分 有 效 
密 文 和 无 效 密 文 。 注 意 秘密 钥 和 公开 钥 是 使 用 相同 的 算法 生成 的 ,不 可 区 分 性 的 要 求 仅 
针对 密 文 。 

1) 平滑 投影 哈 希 函数 

设 、 、 分 别 是 秘密 钥 集合 公开 钥 集合 以 及 被 封装 的 对 称 密 钥 集合 。 和 C 分 
别 为 所 有 密 文 的 集合 和 所 有 有 效 密 文 的 集合 。 

设 Aw: > 是 以 skE 为 索引 的 、 把 密 文 映 射 为 对 称 密 钥 的 哈 希 函数 。 对 哈 希 函数 
Ac.) , 若 存在 投影 w: 一 ,使 得 ApCsk)E 定义 了 As 在 有 效 密 文集 合 上 的 取 值 , 即 对 
每 个 有 效 密 文 E ， =A (OWH pk=p(sk) Al C 唯一 确定 , 则 称 哈 希 函数 Ac. FEA 
影 的 。 尽 管 可 能 有 许多 不 同 的 秘密 钥 对 应 于 同一 个 公开 钥 pk, 但 是 在 有 效 密 文集 合 上 
A 的 取 值 由 公开 钥 pk 完全 确定 。 另 一 方面 ,在 无 效 密 文 集合 上 As 的 取 值 是 不 能 完全 确 
定 的 。 若 对 所 有 的 无 效 密 文 CE \ ,有 

SD((pk,Ax(C)), (pk, K))< 
则 称 此 哈 希 函数 As 是 -平滑 的 ,其 中 sker Ker ,pk 一 ApCsk)。 

定义 3-8 中 的 通用 性 描述 的 是 集合 中 的 每 一 元 素 , 而 平滑 性 描述 的 是 集合 中 元 素 的 
平均 情况 。 因 此 平滑 性 比 通用 性 弱 。 

2) 哈 希 证 明 系 统 (Hash Proof Systems,HPS) 

哈 希 证 明 系 统 包含 3 个 多 项 式 时 间 算 法 , 即 HPS = (Param, Pub, Priv), 其 中 
Param(1 ) 是 随机 化 算法 ,用 于 生成 系统 的 一 个 实例 (group，，，， ， Aco oe) , 其 中 
group 包含 公开 参数 。Pub 是 确定 性 的 公开 求 值 算法 , 当 已 知 一 个 证 据 ww( 证 明 CE 是 有 
效 的 ) 时 ,用 于 对 C 解 封装 。 具 体 地 说 , 当 输入 为 pk 一 w(Csk)、 有 效 密 文 CE 以 及 证 据 w 
时 ,Pub 输出 封装 密 钥 KSA (O. Priv 是 确定 性 的 秘密 求 值 算 法 ,用 于 已 知 sk€ mi 
无 须知 道 w 时 ,对 有 效 密 文 解 封 装 。 具 体 地 说 , 当 输入 为 秘密 钥 skE 和 有 效 密 文 
CE 时 ,Priv 输出 封装 密 钥 K =A). WA 3-3 所 示 。 

3) 子 集成 员 问 题 

在 HPS 中 求 子 集成 员 问 题 是 计算 困难 的 , 即 对 于 随机 的 有 效 密 文 CuE 和 随机 的 无 
BUR CE \ ,Cs MC, 是 计算 不 可 区 分 的 。 对 于 多 项 式 时 间 的 敌手 ,区 分 密 文 Cs 和 
Ci AEH Advis, ( AE TT WEA. Advies, © ) 的 定义 如 下 : 

91 


mn 密码 学 中 的 可 证 明 安 全 性 Eeesssssss 


Priv(sk,C) 





Pub(pk,C.w) 


(sk) 
DO 


3-3 用 于 密 钥 封装 机 制 的 哈 希 证 明 系 统 


Advis, ( )=|Pro- E (+ .Co)=1]—Pre-\ E €> ,C0)=1]| 

其 中 集合 和 由 函数 Param(1 ) 生 成 。 

定义 3-9 如 果 哈 希 证 明 系 统 HPS= (Param,Pub,Priv) 满 足以 下 两 个 条 件 , 则 称 其 
为 1- 通 用 的 (1-universal) 。 

(1) 对 于 足够 大 的 nEN 和 Param ) 的 所 有 可 能 输出 ,投影 哈 希 函数 A 一 是 
( ) -平滑 的 ,其 中 ( ) 是 一 个 可 忽略 的 函数 。 

(2) 其 中 的 子 集成 员 问 题 是 困难 的 。 

【 例 3-2】 基于 DDH 的 哈 希 证 明 系 统 。 

以 下 哈 希 证 明 系 统 基于 判定 性 DDH 假定 。 

设 G 是 一 个 阶 为 素数 q 的 群 ,随机 化 算法 Param(1 ) 生 成 系统 的 一 个 实例 (group，， 
中 

。 group=(G .g).g2)+21+g2~rG 为 生成 元 。 

。 =@, ={(gi.gi):r+rZ,}, =G. 

。 =, =G. 

。 对 于 sk 一 (zi,zz)E ,定义 pr(sk) 一 sgaE 。 

。 对 于 C=(g1,g;)E€ MEH rEZ, EX Pub(pk.C.r)=pk". 

。 对 于 C=(clycs)E EX Priv(sk,C)=Ay (C) =ch cf。 

容易 验证 ,Pub(sk,C,7) 与 Priv(sk,C) 相 等 。 在 基于 DDH 假设 下 ,该 系统 是 1- 通 用 的 。 


362 密 钥 泄露 攻击 模型 


1. 选择 明文 的 密 钥 泄露 攻击 

如 果 敌 手 获 得 加 密 机 制 秘密 钥 的 部 分 信息 时 ,加 密 机 制 仍 然 是 语义 安全 的 , 则 称 它 为 
抗 密 钥 泄露 攻击 的 。 在 其 安全 模型 中 ,假定 敌手 能 够 适应 性 地 访问 泄露 论 言 机 ,敌手 能 够 
提交 任 一 函数 并 获得 f(sk) ,其 中 sk 是 秘密 钥 。 在 有 界 泄露 模型 中 唯一 的 限制 是 所 有 
泄露 函数 的 输出 长 度 总 和 不 能 超过 预先 给 定 的 关于 安全 参数 的 某 个 界 。 

下 面 是 正式 的 定义 。 设 了 二 (KeyGen，，) 是 一 个 公 钥 加 密 方 案 ， 和 分别 表示 
KeyGen(1 ) 生 成 的 秘密 钥 集合 和 公开 钥 集合 。 泄 露 论 言 机 用 Leakage(sk) 表 示 , 其 输入 
为 函数 f ”一 {0,1)” ,输出 为 f(sk)。 如 果 提交 给 泄露 论 言 机 的 所 有 函数 的 输出 长 度 
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总 和 至 多 为 4 的 话 , 则 称 A ARN AMRF. 
定义 3-10( 密 钥 汇 露 攻击 ) i I= (KeyGen，，) 是 语义 安全 的 公 钥 加 密 机 制 , 若 对 
任意 PPT 的 4( 7) 有限 的 密 钥 泄露 敌手 一 ( 1, 2). HEH Advi ( ) 是 可 忽略 的 (其 
中 为 安全 参数 ) , 则 称 工 在 抵抗 MX( ) 有 限 的 密 钥 泄露 攻击 下 是 语义 安全 的 。Advi**( 
) 的 定义 为 
Advi) = | Pr[ Exp} (0) =1]—Prl Exp" (1)=1]| 
Expy (A AY a CAF : 
Expr" (8) : 
(sk,pk)<-KeyGen(1 ) 
(Mo ,Mi ,state)< #8 (pk) Erh |M, |= |M; |; 
C* = (My); 
B’ (C* ,state); 
输出 p’. 
其 中 state 表示 敌手 的 状态 ,包括 它 掌 握 的 所 有 量 以 及 产生 的 所 有 随机 数 。Advfeee ) 
的 定义 与 第 2 章 式 (2. 2) 一 致 。 该 定义 及 以 后 的 定义 中 不 允许 敌手 在 获得 挑战 密 文 后 继 
续 访 问 泄露 论 言 机 。 这 个 限制 是 非常 有 必要 的 ,因为 敌手 可 以 将 解密 算法 .挑战 密 文 和 两 
个 消息 M 和 My 编码 到 一 个 函数 ,使 得 该 函数 输出 比特 值 5, 从 而 赢得 游戏 。 


2. 选择 密 文 的 密 钥 泄露 攻击 
将 定义 3-10 推广 为 选择 密 文 安全 的 ,其 中 敌手 可 以 适应 性 地 询问 解密 论 言 机 
ae (+) , 它 向 解密 论 言 机 输入 密 文 ,解密 论 言 机 为 它 输出 用 密 钥 sk 解密 得 到 的 明文 。 
用 ect CORR C 外 论 言 机 可 解密 任何 密 文 。 在 选择 密 文 的 密 钥 泄露 攻击 的 标 
准 定义 中 ,又 分 为 两 种 情况 : 适应 性 选择 密 文 攻击 (CCA1) 和 非 适应 性 选择 密 文 攻击 
(CCA2) 。 
定义 3-11( 非 适应 性 选择 密 文 的 密 钥 泄露 攻击 ) 设 = (KeyGen，，) 是 语义 安全 
的 公 钥 加 密 机 制 , 若 对 任意 PPT 的 4( ) 有 限 的 密 钥 泄 露 敌 手 =( 1, 2), HH 
Advi CA ) 是 可 忽略 的 (其 中 为 安全 参数 ), 则 称 荆 在 抵抗 1+( ) 有 限 的 密 钥 泄露 攻 
击 下 是 CCA1 BAY. Advise" (ny aE OY 
Adygea ) 一 | Pr[ExpkseseccAl(0) 一 1]] 一 PrLExpkseeeccA (1) =1] | 
Expats" (CD) 的 定义 如 下 : 
Expr reca (p); 
(sk.pk)<-KeyGen(1 ) 
(Mo ,Mi ,state)< keco: 40O (pk), 其 中 |Mo|=|Mi|; 
C* = aM); 
B’< ,(C* ,state); 
输出 8 . 
定义 3-12( 适 应 性 选择 密 文 的 密 钥 泄露 攻击 ) 设 I= (KeyGen，，) 是 语义 安全 的 公 
钥 加 密 机 制 , 若 对 PPT AY AC 7) 有限 的 密 钥 泄 露 敌手 一 ( ，，,), 其 优势 Adva ) 是 
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可 忽略 的 (其 中 为 安全 参数 ) , 则 称 荆 在 抵抗 4( ) 有 限 的 密 钥 泄 露 攻 击 下 是 CCA2 安全 的 。 
Adv ) 的 定义 为 
AdveeeccA2( )= | Prl Expo" (9) = 1 ]—Prl Exp (1) =1] | 
Expe ecca: (8) AYE AE : 
Expy’? (f) , 
(sk,pk)<-KeyGen(1 ) 
(Mo ,Mi ,state)< ale a? (pk), HE |M, | =|My |; 
C*= (My); 
B’< ct (C* , state); 


输出 B 


3. 弱 密 钥 泄露 攻击 
弱 密 钥 泄 露 攻击 是 指 敌 手 在 没有 获得 公开 钥 之 前 ,事先 选 定 输出 长 度 为 的 泄露 函 
数 广 , 即 太 的 选取 独立 于 公开 钥 。 系 统 建立 后 ,敌手 获得 (pk,7F(Csk))。 虽 然 这 个 概念 看 起 
来 很 弱 , 但 是 它 刻 画 了 泄露 攻击 不 依赖 于 系统 参数 ,而 仅 依赖 于 硬件 设备 的 情况 。 
定义 3-13( 弱 密 钥 泄露 攻击 ) 设 = (KeyGen，，) 是 语义 安全 的 公 钥 加 密 机 制 , 若 
对 任意 PPT WAC ) 有 限 的 密 钥 泄露 敌手 =a D RAARO RR 三 , 敌 手 的 优 
势 Advie eee ) 是 可 忽略 的 (其 中 为 安全 参数 ), 则 称 工 在 抵抗 弱 X( ) 有 限 的 密 钥 泄 
露 攻击 下 是 语义 安全 的 。Advyespee( ) 的 定义 为 
Advyetizeee( ) 一 |PrLExpyeupoese(0) 一 1 一 Prl Expr" (1) =1] | 
Expr" (8) HEXA TF : 
Experte (B), 
(sk.pk)<-KeyGen(1 ) 
(Ms ,Mi ,state)< (pk, f(sk)) HP |M, | =1My l; 
C* = (Mọ); 
B’ (C* state); 
输出 p 
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下 面 是 基于 通用 哈 希 证 明 系 统 的 抗 泄露 的 公 钥 加 密 方案 ,然后 是 一 个 实例 ,实例 中 基 
于 DDH 假设 先 构造 一 个 简单 高 效 的 哈 希 证 明 系统 ,由 此 得 到 的 加 密 机 制 能 够 抵抗 任意 
EL(1/2 一 o(1)) 比 特 的 密 钥 泄露 ,其 中 工 是 密 钥 长 度 。 

1. 通用 构造 

设 哈 希 证 明 系 统 HPS= (Param,Pub,Priv) 是 ,- 平 滑 的 ,其 中 Param(1 ) 生 成 系统 的 
一 个 实例 (group，，，， ， Aco ,py) 作 为 加 密 机 制 的 公开 参数 。 设 4 二 4( ) 是 泄露 的 
上 界 ,Ext: X{0,1): 一 {0,1}” 是 平均 情况 下 的 (log| | 一 4, OERE. ,和 ,关于 安全 参 
数 都 是 可 忽略 的 。 下 面 是 方案 了 二 (KeyGen，，) 的 描述 。 

(1) 密 钥 产生 过 程 : 
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KeyGen( ) : 

sk+p 3 

pk=p(sk)E ; 

输出 (sk,pk). 

(2) 加 密 过 程 ( 其 中 ME {0,1)"); 

pk(M) : 
C<-k ,CE 的 证 据 ww; 
sp {0,1}*3 
W=Ext(Pub(pk.C,w).s)QM; 
fh (Cos. Y). 





(3) 解密 过 程 : 
áC: O): 
输出 YExt(Aw(CC) ,s). 
方案 的 正确 性 由 As(C) 王 Pub(Cpk,C,w) 可 得 。 方 案 的 安全 性 ( 即 抗 密 钥 泄露 性 ) 由 
HPS 是 , -平滑 的 可 得 , 即 对 所 有 的 Cer \ ,下 述 等 式 成 立 : 
SDCCpk,As(C)),(Cpk,K)) 雯 ， 
其 中 sker Ker 且 pk 二 p(sk)。 因 此 ,已 知 公开 钥 pk 以 及 密 钥 泄露 的 任意 4 个 比特 ， 
Aa OKAS FRAEN A log) | 一 的 分 布 是 1 -接近 的 。 对 AQ CC) s<p {01}! 
使 用 平均 的 (log| | 一 4, ,) 强 提取 器 Ext: X (0,1) —>{0,1)” ,保证 了 明文 被 隐藏 。 
HH | FH 3-9 A, RE m<log| | —A—QClog(1/ 2)). Ext 可 以 提取 到 几乎 均匀 的 
m 个 比特 。 考 虑 到 :关于 安全 参数 是 可 忽略 的 ( 即 log(1/ 2)=w(log )), 当 泄露 量 
AC ) 三 log| | 一 o(log ) 一 m 时 ,该 方案 在 抵抗 4( ) 有 限 的 密 钥 泄 露 攻击 下 是 语义 安全 
的 ,其 中 是 明文 长 度 。 定 理 3-14 论述 方案 的 安全 性 。 
定理 3-14 设 哈 希 证 明 系统 HPS 是 1- 平滑 的 ,对 于 任意 的 4( log) | 一 w(log ) 一 
m 是 安全 参数 ,m 是 明文 长 度 ) ,以 上 加 密 机 制 卫 在 抵抗 4( ) 有 限 的 密 钥 泄露 攻击 下 是 
语义 安全 的 。 
具体 地 说 ,如 果 HPS 是 -通用 的 ,Ext 是 平均 情况 下 的 (log| | 一 4, ,) 强 提取 器 ， 
=( 1. 2D TAC ) 有 限 的 密 钥 泄露 敌手 , 则 存在 一 个 敌手 以 至 少 


Advitls, ( <4 Advice aa 


的 优势 解决 HPS 子 集成 员 问 题 。 

证 明 : 敌手 CH Cl ,\ } ,为 了 确定 是 还 是 \ ,与 进行 以 下 的 Exp ,B) 
游戏 : 

(1) 运行 随机 化 算法 Param ) 生 成 系统 的 一 个 实例 (group，，，， ， Acos 
u) sker $ pk 二 (sk)€ . 

(2) (Mo ,Mi state)< pP (pk) EIM | =|Mi |. 

(3) 随机 选择 Cr ,s<R{0,1: 求 更 一 Ext(As(CC) OMe. 

(4) B'< 2((C.s, WV), state), 
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(5) BB’. 
由 定义 3.10 知 ,任意 敌手 攻击 实例 (group，，，， ， Aco ,1) 的 优势 为 
Advg™e( )= | Pr[Exp}t"** (0) =1]— PrLExp}"**(1) =1]| 





= | PrlExpk™( ,0)=1]—PrlExph™"( ,1)=1]| (3.7) 
<|PrlExph"( ,0)=1]—PrlExpk™*"( \ ,0)=1]| (3. 8) 
+ |PrlExph"( \ ,0)=1]—PrlExp*"( \ .1)=1]| (3.9) 
+|PrlExp™*( \ ,1) 一 ]] 一 PrLExpkeee( .1)=1]] (3.10) 





其 中 式 (3.7) 是 由 于 对 于 任意 的 CE 及 其 证 据 wA Ag (C) = Pub(pk.C. w) saz, BI 
Expt ,B) 与 Expfeee(p) 一 样 。 式 (3.8) 和 式 (3. 10) 表 示 解决 哈 希 证 明 系统 (HPS) 
中 子 集成 员 问题 的 优势 ,为 Advies, C) FERR. DWE. 

断言 3-9 对 于 任意 的 PPT 敌手 有 

|PrLExpk™*"( \ ,0)=1]—PrlExple™*( \ ,1) 王 1| 委 2(0: 十 :) 
证 明 : 哈 希 证 明 系统 保证 对 于 任意 的 CE \、, 当 pk 和 C 已 知 时 ,Aw(C) 的 值 在 集合 
上 是 -接近 于 均匀 分 布 的 , 即 
SD((pk.C, Ag (C)).(pk.C,.K))< ; 

其 中 sker Ker ,pk=Aw(Csk)。 然 而 敌手 可 通过 访问 泄露 论 言 机 获得 额外 的 比特 
的 信息 ,下 面 用 aux 表示 泄露 论 言 机 的 输出 , 它 是 关于 公开 钥 pk 和 秘密 钥 sk 的 函数 。 然 
而 aux 的 分 布 完全 由 pk, C 和 Aw(C) 决 定 : 已 知 pk`C MAG CC) ,可 以 从 秘密 钥 的 边缘 分 
布 中 随机 选取 秘密 钥 sk' ,这 样 选取 的 秘密 钥 和 pk, C 及 4Aw(C) 是 一 致 的 ,然后 计算 
aux 一 aux(pk,sk')。 下 面 将 泄露 表示 为 pk, C 和 Aw(C) 的 函数 , 即 aux=aux(pk.C, 
4s(C))。 由 于 将 同一 函数 用 到 两 个 分 布 上 ,不 会 增加 这 两 个 分 布 的 统计 距离 ,所 以 

SD((pk,C,Ax(C),aux(pk,C,A&(C))),((pk,C,K aux(pk,C,K)))<S ¢3: 11) 

其 中 sker Ker ,pk=ApCsk)。 将 提取 器 Ext 用 在 Ay (C) ,得 
SD((pk,C,Ext(Aw(C),s) aux). (pk.C,K,s,aux))< , (3.12) 
再 考虑 (pk,C,K ,aux(pk,C,K)) 的 分 布 。 因 为 aux WIRE A 比特 ,由 引 理 3-7 有 
Ho (K | pk.C,aux) >H.. (K | pk.C)—Aa=log| |—X 
对 开 应 用 强 提取 器 Ext 有 
SD((pk,C,Ext(K,s),s,aux),(pk,C,y,s,aux)) , (3. 13) 
其 中 ser {0.1}! 是 随机 选取 的 种 子 ,y<R(0.1)。 
结合 式 (3. 12) 和 式 (3. 13) 式 ,由 三 角 不 等 式 得 
SD((pk-C-Ext(Ag(C) +s) .ssaux) + (pk-C.y+ssaux))< 1+ 2 (3.14) 
其 中 sker syer{0,1}” Ms<r{0,1} s pk=p(sk). 

所 以 实验 Exp \ DP. AR ECP Yet ;) 接 近 于 均匀 分 布 的 。 
Expr (\ DE B=0 A p=1 两 种 情况 下 仅 亚 不 同 ,由 三 角 不 等 式 , 敌 手 的 视图 分 布 
在 两 种 情况 下 的 统计 距离 至 多 为 2( | 十 ,)。 所 以 有 

|PrLExpjee( \ ,0) 一 1] 一 PrLExpje(N ,1)=1]|<2( i+ 2) 
(断言 3-9 证 毕 ) 

所 以 Advie )<2 + Advil, ( ) 十 2( 1 十 ,), 由 此 得 
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Advts, ( jt z Advi = 
(定理 3-14 证 毕 ) 


2. 由 基于 DDH 的 哈 希 证 明 系 统 得 到 的 抗 泄露 公 钥 加 密 
设 G 是 阶 为 素数 q 的 群 ,4 二 4( ) 为 泄露 参数 ,Ext:G X10,1)’ 习 (0,1)” 是 平均 情况 
下 的 (logg 一 *，) 强 提取 器 ,其 中 = 〈 ) 是 可 忽略 的 量 。 方 案 如 下 。 
(1) 密 钥 产生 过 程 : 
KeyGen( ): 
Tsk Zos 
Birg2 RG; 
h=gh g? ; 
sk= (z, sx2)spk= (g1 »g2+h). 
(2) 加 密 过 程 (其 中 ME {0,1)”): 
rr Z,3 
<p {0.1}'; 
输出 (gf sg s Exth" s) DM). 
(3) 解密 过 程 : 
sk (Uy slp Sse): 
输出 eDExt(uh uk s). 
其 中 的 喻 希 证 明 系 统 在 3.6.2 节 已 给 出 , 它 是 1- 通 用 的 。 因 为 Ext 是 平均 情况 下 的 
Clog q—A, VRHA L= |sk|=2 log q, HEM 3-14 得 








àC )<log qg 一 o(log )—m w(log )—m 
由 此 得 以 下 推论 。 

推论 假设 DDH 是 困难 的 ,以 上 加 密 机 制 在 抵抗 4( ) 一 (L/2 一 o(log ) 一 m) 有 限 
的 密 钥 泄露 攻击 下 是 语义 安全 的 ,其 中 是 安全 参数 ,L 二 L( ORRAK E. m=m ) 是 


明文 长 度 。 


364 基于 推广 的 DDH 假 设 的 抗 泄露 攻击 的 公 钥 加 密 方案 


下 面 是 基于 推广 的 DDH 假设 的 抗 泄露 的 公 钥 加 密 方案 ,能 够 抵抗 任意 二 (1 一 o(1)) 
比特 的 密 钥 泄露 ,其 中 工 是 密 钥 长 度 。 

1. 推 广 的 判定 性 Diffie Hellman 假设 

设 GroupGen 是 以 安全 参数 1 为 输入 的 概率 多 项 式 时 间 算 法 ,其 输出 为 (G ,g,g)， 
其 中 g 是 比特 的 素数 ,G 是 阶 为 g 的 群 ,g 是 群 G 的 生成 元 。 

推广 的 DDH 假设 (简称 为 GDDH 假设 ) 如 下 : 对 于 任意 正 整数 ,集合 

coon = { (g1 ott Ser Bi Be) 1g: 4r Gor~R Z,} 
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和 
coou = Å (gi I BR G ,ri Z,} 
是 计算 不 可 区 分 的 ,其 中 (G .q.g¢)<-GroupGen(1 )。 
2 方案 构造 
D 密 钥 产生 过 程 : 
KeyGen( ): 
ss 
& oo SEER G 3 
y=I gi; 
sk=(s1.° 5), pk= (gi gery). 
其 中 /是 关于 的 多 项 式 。 
(2) 加 密 过 程 (其 中 MEG ): 
aM): 
rr Za; 


HH Coy se scr) = Cet ott gi sy’ e M). 





(3) 解密 过 程 : 
二 (C1，…，CtyCt+1) 
` CeE+1 
A ,cg 
这 是 因为 
CoH _ UI, gh) ‘M_M. 





Ak-c¥) Ii- gr 

定理 3-15 在 推广 的 DDH (Ri FWA Ee D i DERA OSIL a 
0(1))- 密 钥 汇 露 攻击 下 是 语义 安全 的 ,其 中 |L| 是 秘密 钥 长 度 。 

具体 地 说 ,如 果 FED TAC ) 有 限 的 密 钥 泄露 敌手 ， 的 优势 是 , 则 存在 一 个 敌 


F 以 至 少 雪 的 优势 解决 GDDH 问题 。 


证 明 : 挑战 者 做 如 下 设置 : 运行 GroupGen 输出 (G ,q,g) ,随机 选取 peR{0,1), 若 
=0 RE T= (gre geet et gps n=l RE T= ee geet ge). RF 
以 至 少 的 优势 攻破 上 述 方案 。 下 面 构造 另 一 个 PPT 敌手 攻击 GDDH 假设 。 收 到 T 
三 (gi, ,gisC1，,"… ,C4) 后 ,通过 与 进行 以 下 游戏 ,以 判断 TE copa 还 是 TE oppn。 
(1) 从 收 到 泄露 函数 fo 
(2) 运行 KeyGen(1 ) 得 到 (sk,pk) ,将 pk 和 f(sk,pk) 给 。 
(3) 收 到 发 来 的 Mo。 和 Mi。 
(4) 随机 选 8<-g{0,1) ,计算 C* = (Mg) = Cer eet ces 了 [ici * Mg)。 
(5) ”输出 对 8 的 猜测 8 。 如 果 p= 二 8， 输出 yy 二 0, 表 示 TE coon. WR PAB, ffi 
出 y= 二 1, 表 示 TE one 
下 面 计算 的 优势 。 
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M p=0 时 ， 看 到 Ms 的 密 文 ,由 于 的 优势 是 ,Pr[B 一 Blu 一 0] 一 去 十 。 而 当 B' 一 B 


ih, AW p’ =O. BFL Prig ulu =0]=4 + 。 


4 u=1, WRAY pk, f(pk. sk). gi ，…,g2 s Migr + My). FEE IEA 
微小 的 误差 与 (pk,f(pk,sk) ,gh ,… ,gx ,U) 是 统计 上 不 可 区 分 的 。 称 区 分 这 两 个 多 元 组 
为 问题 1, 区 分 (pk,FCpk,sk) ,rey(F5)) 与 (pk,Fpk,sk) sri tt ere DU) 为 问题 2 
其 中 一 (mr 一 (se)。 首 先 证 明 问 题 2 可 归 约 到 问题 1, 因 此 问题 1 至 少 与 
问题 2 一 样 困 难 。 

设 g 是 G 的 生成 元 ,对 每 个 g;, 存 在 6; 使 得 gi Sg 1 的 两 个 多 元 组 变 为 
(pk, f(pkssk) sgn pee, gee, [gs e M) (pk. fpk, sk) ,gn ,gi ,UU), 令 1!= 
8riG 一 1 0) ABP S ir) WANEH H pk, fk, sk), gh seg, Ty 
gii e Mp = (pk, fCpk, sk) g^ ses gg e My) Al (pk, fCpkssk), gh , et, gt, U). 
所 以 如 果 能 解决 问题 2 就 能 解决 问题 1 。 

下 面 证 明 问 题 2 是 困难 的 , 即 (pk, fCpks sk), rister, (F, 5)) 5 (pk, f (pk, sk), 
nonor DRI EREA. ARRO HRX h, (3) = (7.5) mod q 构成 ,可 以 看 
出 这 是 一 个 通用 哈 希 函数 族 。 为 了 使 用 剩余 哈 希 引 理 ,需要 Hol) Slog q 十 2log(1/“) 。 
因为 秘密 钥 s 为 llogg 比特 长 ,4 是 泄露 函数 了 的 输出 比特 长 , (7,5) 汇 露 的 比特 长 是 loggq， 
所 以 有 H,(3)==llogg 一 4 一 logqg。 因 此 ,只 要 Ho (3)==llogg 一 4 一 logg 之 logg 十 2log (1/ ^), B 

A< flogg—2logg—2log(1/ )=|L|(1—o0(1)) 
其 中 |L| 是 秘密 钥 长 度 , 由 剩余 哈 希 引 理 可 知 ,(z,5) 与 U 的 统计 距离 至 多 是 “。 


通过 泄露 函数 获得 8 的 部 分 信息 ,使 得 PrE’ =Blu=1]=F+’ ,因此 Prlp’ A 








Blp= 本 = 去 一 ,而 当 尼 天 8 时 ， 猜 测 风 一 1, 所 以 Ply lut- 
的 优势 为 


二 Pr plp=0] 了 Pr plp=1] TEA ) IG ') 
> 











1 1 
=F04+ 034 
Ie no", BoB GDDH 假设 的 优势 依然 是 不 可 忽略 的 ,可 容忍 的 泄露 变 为 
Clogq—2 logq—2log’n=|sk|(1—o0(1)). 


365 抗 选择 密 文 的 密 钥 泄露 攻击 


1. 通用 构造 

2. 2 节 介绍 的 Naor-Yung 的 双 加 密 范式 是 IND-CCA1 安全 的 ,为 了 将 其 用 于 密 钥 泄 
露 攻击 的 场景 ,需要 对 其 中 的 适应 性 安全 的 非 交 互 式 零 知识 (NIZK) 证 明 系 统 ( 见 1. 4.5 
节 定 义 1-17) 加 上 一 个 额外 的 性 质 -模拟 可 靠 性 , 称 之 为 模拟 可 靠 的 适应 性 安全 的 非 交 互 
式 零 知 识 证 明 系统 。 








99 


mm 密码 学 中 的 可 证 明 安 全 性 m 


定义 117” 对 任意 的 PPT 敌手 ,存在 一 个 可 忽略 的 函数 (。) ,使 得 
Advs( ) 王 |PrLExps( )=1]/< ( ) 
则 称 NIZK 是 模拟 可 靠 的 ,其 中 Exps( ) 如 下 定义 : 
Expss( ): 

(o.7)<-Sim,( ); 

(asx) mA ai 

用 Q 表 示 对 Sim, 询问 的 应 答 构成 的 集合 ; 

返回 1, 当 上 且 仅 当 x&L,x&Q, 且 ( ,zxro) 一 1. 

设 公 钥 加 密 机 制 了 I 二 (KeyGen，，) 在 4( ) 有 限 的 密 钥 泄 露 攻 击 下 是 语义 安全 的 ， 
Xn 二 (CRSGen，，,Sim ,Sim;) 是 对 下 述 NP 语言 模拟 可 靠 的 适应 性 安全 的 NIZK 证 明 
ARR: 

L={(CT).CT, ,pko ,pki) | 存在 Moro ori 使 得 CTo= pw, (Miro) sCT: = p (Miri) } 

加 密 机 制 I" 一 (KeyGen” ,“，“ ) 定 义 如 下 。 

(1) 密 钥 产生 过 程 : 

KeyGen‘ (1 ) : 

(sko ,pko),(ski ,pk )<-KeyGen(1 ); 
o<-CRSGen(1 ) 

sk= sko .pk= (pko -pk, ,co). 

D 加 密 过 程 : 

pk (M) : 

Tosti Re{0.1}"; 

CT, = pk, (Miro)5 

CT = w (Miri); 

x= (oA CT CT oD roar M) Yi 
输出 (CT ,CT +7). 

(3) 解密 过 程 : 

sk, (CTo ,CT ,7): 

如 果 (o, (CT ,CT ,r)) 一 0 
输出 |; 

否则 
输出 s CCTo). 

在 方案 的 安全 性 证 明 中 ,将 敌手 H AAE 对 Saa N. 

定理 3-16 ” 设 公 钥 加 密 机 制 耳 在 4( ) 有 限 的 密 钥 泄 露 攻击 下 是 语义 安全 的 ,3zx 是 
模拟 可 靠 的 适应 性 安全 的 NIZK 证 明 系 统 。 那 么 ,17" 在 4( ) 有 限 的 密 钥 泄露 攻击 下 是 
CCA2 安全 的 。 

证 明 : 设 攻击 五 的 PPT 敌手 是 4( ) 有 限 的 密 钥 泄露 攻击 的 ,下 面 描述 一 个 思维 
实验 ,将 对 I" 的 攻击 转化 为 对 思维 实验 的 攻击 。 思 维 实验 与 真实 攻击 的 区 别 是 收 
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到 的 挑战 密 文 可 能 是 不 正确 地 生成 的 (两 个 密 文 可 能 不 是 由 同一 消息 得 到 的 ) ,而 NIZK 
证 明 是 由 NIZK 模拟 器 S= (Sim . Sim, ) 产 生 的 。 
。 密 钥 生成 : 
Exp™ (AA): 
(o.7)<-Sim, (1 ); 
(sky »pky) » (sk, ,pk )<-KeyGen(1 ); 
sk= sko ,pk= (pko ,pk .o). 
e (Mo ,Mi ,state)< bakes AOO (pk). 
。 生成 挑战 密 文 C* = (CT) ,CT ,z) : 
CTo< pk, (Ma, ); 
CT; pk, (Ms, ); 
Ax<—Sims ((CT,o ,CT ,pko ,pki ) ,0,7). 
e Pe uc)(C* ,state). 
敌手 攻击 五" 的 优势 为 
Advts )= |Pr[Expir (1) = 1] — Pr[ Expyaeee’? (0) =1] | 


<|PrlExpae’ (1) =1]—PrlExp**(1,1)=1]| (3.15) 
+ | Pr[Exp® (1,1) =1]—Pr[Exp*"(0.1)=1]| (3.16) 
十 |PrLExpsm(0,1) 王 1] 一 PrLExpsm(0,0) 王 1]| (3.17) 
+ | Pr[Exp*™" (0,0) =1]—PrLExp}#ee” (0) =1]| (3. 18) 


断言 3-10 证 明 式 (3.15) 和 式 (3.18) 是 可 忽略 的 。 
断言 3-10 对 任意 PPT 的 AM RE {0.1}. 
| Pr Expec (2) = 1 ]— PrLExp*"(8,8) =1]| 
是 可 忽略 的 。 

证 明 : 设 挑战 者 建立 一 个 模拟 可 靠 的 适应 性 安全 的 NIZK 证 明 系 统 , 若 对 任意 PPT 

的 和 BE1{0,1}), 存 在 不 可 忽略 的 函数 ( ) ,使 得 
| PrLExp}iee4 (8) =1]—PrlExp*"(8.8)=1]|> ( ) 
则 能 够 构造 另 一 个 PPT 敌手 ,以 ( ) 的 优势 攻击 NIZK 的 零 知 识 性 。 

按 以 下 方式 与 交互 : 收 到 参考 字符 串 o 后 建立 密 钥 对 (sko pko), (sk, pki) 一 
KeyGen(1 ) ,将 公开 钥 pk= (pk ,pki,o) 给 ,使 用 sk=sks 为 模拟 解密 论 言 机 和 泄露 
论 言 机 (任何 人 都 能 在 解密 时 验证 NIZK 的 证 明 ) 。 输出 CM ,Mi ) 作 为 挑战 明文 ， 计 算 
CTo p (Mg) FI CT: pw (M) ,挑战 者 为 产生 (CT。 ,CT ,pko ,pki)EL 的 证 明 r。 
将 挑战 密 文 (CT。 ,CT ,z) 发 送 给 ,输出 的 输出 。 如 果 x 是 真实 的 证 明 ， 则 完美 地 模拟 
TKI Expr” (8) ;如果 天 是 模拟 的 证 明 ， 则 完美 地 模拟 了 实验 Expsm(8.8) 。 因 此 ， 
如 果 能 以 ( ) 的 优势 区 分 Expres’ (8) 和 下 xps"(8,8) ， 就 以 同样 的 优势 区 分 x 是 真 
实 的 证 明 还 是 模拟 的 证 明 。 

(断言 3-10 证 毕 ) 

断言 3-11 证 明 在 实验 Exp™(B,B) 中 ， 向 询问 的 密 文 ,如 果 有 可 接受 的 NIZK 证 
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明 , 则 该 密 文 是 以 压倒 性 的 概率 为 有 效 的 。 如 果 密 文 CT 二 (CT。 CT ,r) 满 足 (CCT, 
CT, ,pko,pki),o,z) 一 1 但 a (CTIA (CT ), 则 称 CT 是 无 效 的 。 

断言 3-11 对 于 任意 PPT 敌手 入 ,BE10,1) ,在 实验 Exp™(B ,Bl) 中 ， 能 向 询 
问 无 效 密 文 的 概率 是 可 忽略 的 。 

证 明 : 反 证 ,如 果 能 以 不 可 忽略 的 概率 向 询问 无 效 密 文 , 则 能 以 相同 的 概率 攻击 
Sax WUBI AT ELE. 

作为 主体 和 ”运行 Exp™(B ,B ) ,在 收 到 挑战 者 生成 的 参考 字符 串 c 后 ,以 断言 3-10 
证 明 中 的 方式 运行 实验 Exps" ( ,8 ) (唯一 的 不 同 是 计算 CTs = (Ma ACT < mm 
(Ms )) 。 在 模拟 过 程 中 ,如 果 向 询问 无 效 密 文 ， 输 出 这 个 密 文 及 其 证 明 x( 由 挑战 者 
产生 ) 并 且 停 止 (这 是 因为 知道 解密 密 钥 并 且 可 以 验证 NIZK 证 明 的 正确 性 ,因此 能 判 
断 提交 的 密 文 是 否 无 效 ) , 即 成 功 攻击 了 zx 的 模拟 可 靠 性 。 

(断言 3-11 证 毕 ) 

下 面 证 明 式 (3. 16) 和 式 (3. 17) 是 可 忽略 的 。 

断言 3-12 ”对 于 任意 PPT 敌手 ， 

| Pr [Exp®™ (1,1) =1] —Pr[Exp*"(0,1)=1] | 
是 可 忽略 的 。 
证 明 : 反 证 , 若 存在 不 可 忽略 的 函数 ( ) ,使 得 
| Pr [Exp (1,1) =1] —Pr[Exp®™(0,1)=1] |> (9) 
就 可 构造 男 一 PPT 敌手 以 ( ) 的 优势 攻击 I= (KeyGen, . ) 的 语义 安全 性 。 
挑战 者 建立 = (KeyGen，，), 将 pk<-KeyGen(1 ) 给 。 与 如 下 交互 : 
。 密 钥 生成 。 取 pko =pk. (sk, ,pki)<-KeyGen(1 )&(o,7)<-Sim, (1 ), 设 定 pk= 
(pko ,pk ,co) 。 

。 泄露 询问 。 发 出 泄露 询问 f 时 ,将 了 转发 给 pk 相应 的 泄露 论 言 机 。 

。 解密 询问 。 当 发 出 CT= (CT,。 ,CT ,z) 的 解密 询问 时 ， 调 用 NIZK 的 证 明 者 

验证 r 是否 为 关于 ve 可 接收 的 证 明 。 如 果 是 ， 输 出 a (CT) ,否则 输出 上 。 

。 输出 消息 (Mo ,Mi )， 将 (Mo,M ) 转 发 给 挑战 者 ,得 到 CTS = mw (Mp) (其 中 

Be{0,1)) ,然后 向 输出 挑战 密 文 (CT。 ,CT ,r) ,其 中 : 
CTi= w (Mi); 
x<Sim, ( (CT, ,CT ,pko ,pki),o,z)( 模 拟 的 NIZK 证 明 ) 

。 输出 8 ， 也 输出 8 。 

在 看 来 ， 产生 的 视图 和 实验 Exp™(B,1) 的 视图 区 别 是 执行 解密 时 使 用 sk 而 
不 是 sk。。 只 要 不 提交 具有 可 接受 NIZK 证 明 的 无 效 密 文 . 则 二 者 的 视图 是 完全 相同 
的 。 断 言 3-11 保证 了 后 者 事件 发 生 的 概率 是 可 忽略 的 。 若 8p=0, 上 述 交 互 过 程 就 是 
Exp*™(0,1) ;车 B= 二 1, 上 述 交 互 过 程 就 是 Exp™(1,1)。 所 以 ， 以 ( ) 的 优势 区 分 
Exps"(0,1) 和 Exps"(1,1) ,就 是 以 ( ) 的 优势 区 分 8 二 0 还 是 8=1; 也 以 同样 的 优势 区 
分 了 B= 二 0 和 8B 二 1, 即 攻击 了 匡 的 语义 安全 性 。 

(断言 3-12 证 毕 》 

断言 3-13 的 证 明和 断言 3-12 基本 相同 ,区 别 在 于 回答 泄露 询问 的 方式 不 同 。 在 
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断言 3-12 中 ， 不 知道 sky ,只 能 将 的 泄露 询问 转发 给 泄露 论 言 机 ;而 在 断言 3-13 中 ， 
知道 sky ,可 直接 回答 的 泄露 询问 。 
断言 3-13 ”对 于 任意 PPT 敌手 ， 
| Pr[Exp®™(0,1)=1] —Pr[Exp*"(0,0)=1] | 
是 可 忽略 的 。 
证 明 : 反 证 , 若 存在 不 可 忽略 的 函数 ( ) ,使 得 
| Pr [Exp®™ (0,1) =1] —Pr[Exp*"(0,0)=1]|> () 
就 可 构造 另 一 PPT 敌手 以 ( ) 的 优势 攻击 I= (KeyGen, . ) 的 语义 安全 性 。 
挑战 者 建立 I= (KeyGen. .D). 将 pk<KeyGen(1 ) 给 。 与 如 下 交互 ， 
。 密 钥 生成 。 取 pk, =pk. (sky ,pko)<-KeyGen(1 )&(o.7)<Sim, (1 ), 设 定 pk 一 
(pko ,pk ,co) 。 
。 泄露 询问 。 当 发 出 泄露 询问 上 时 ， 输 出 f(sko)。 
。 解密 询问 。 当 发 出 CT= (CT,。 ,CT ,x) 的 解密 询问 时 ， 调 用 NIZK 的 证 明 者 
验证 x 是否 为 关于 a 可 接收 的 证 明 。 如 果 是 ， 输 出 ww (CT) ,否则 输出 上 。 
。 输出 消息 (Mo ,Mi)， 将 (Mo ,Mi ) 转 发 给 挑战 者 ,得 到 CT = m (My) (其 中 
Be{0,1)) ,然后 向 输出 挑战 密 文 (CT ,CT ,r) ,其 中 : 
CT,= gk, (Mo) 
a<Sim, ((CTo ,CT ,pko,pki),c,z)( 模 拟 的 NIZK 证明 ) 
。 Hp. BH p 
在 看 来 ,产生 的 视图 和 实验 Expsm (0,B8) 的 视图 是 不 可 区 分 的 ,类 似 于 断言 3-12， 
得 证 。 
(断言 3-13 证 毕 ) 
(定理 3-16 证 毕 ) 
2. 一 种 抗 泄露 攻击 的 CCM 安全 的 公 钥 加 密 方案 
下 面 的 方案 是 Cramer-Shoup 轻型 加 密 机 制 的 一 个 变形 。 
KRG 是 阶 为 素数 q 的 群 ,4==X4( ) 是 泄露 参数 ,对 可 忽略 的 = ( ),Ext:G X {0,1}' 
一 {0,1)” 为 平均 情况 的 (logg 一 i，)- 强 提取 器 。 
在 下 面 的 加 密 方案 中 ,秘密 钥 长 度 为 4logd 比特 (4 个 群 元 素 ), 当 4<logg 一 w(log )—m 
时 是 CCA1 安全 的 ,其 中 m 是 明文 的 长 度 。 方 案 如 下 。 
a) 密 钥 产生 过 程 : 
KeyGen( ): 
Li 1X2 221+ TL2 CR Zs 
Eig RG; 
c= gi! g? -h=g7 gr; 
sk 一 (zl +2221 +22) ,pk= (gg2 ch). 
(2) 加 密 过 程 (其 中 ME {0.1}"): 


mm 密码 学 中 的 可 证 明 安 全 性 EGG 


rg Z,; 
s<p{0,1}'; 
输出 (gf1,gz ec” s Ext(h ss) OM). 
(3) 解密 过 程 : 
sk (p11 p42 +See): 
如 果 vAuT uz ,输出 |; 
否则 输出 eDExt(ujt uz ,s). 

RAY uh up = (gh gk) Sc =v A uj ue = (git ge) Sh". 

定理 3-17 假设 DDH 是 困难 的 ,上 述 加 密 方案 在 (L/4 一 w(log ) 一 m) 有 限 的 密 钥 
泄露 攻击 下 是 CCA1 安全 的 ,其 中 为 安全 参数 ,L= 二 L( MRK .m=m( ) 是 明 
文 长 度 。 

证 明 : 若 存在 攻击 本 加 密 方案 的 有 效 敌 手 , 则 能 够 构造 另 一 有 效 敌 手 以 不 可 忽略 
优势 区 分 DH 实例 和 非 DH 实例 。 设 的 输入 为 (gl,gs,yvx)EG+， 与 按 以 下 方式 
交互 : 

A) 初始 化 。 选取 x1 sasz sz: RZ,, RE c= gig? h= gi gp »sk=(215225215 
22) pk=(gi+g2.c+h) H pk A. 

(2) 阶段 1。 使 用 sk 模拟 的 泄露 论 言 机 和 解密 论 言 机 。 

(3) 挑战 。 输出 消息 Mo 和 My, EIR Be {0.1} Ml sxe {061}! HG BE AR EX Cay 
Us » UT u32 +s Ext (uii ui ,s) 电 Mp) 发 送 给 o 

(4) 猜测 。 输出 8 ,如 果 B’ SR h 1ER gusu) E — A DH 实例 ;和 否 
则 ， 输 出 0, REAR Cero ge str ,xs ) 是 一 个 非 DH 实例 。 

若 logy, ta F logg, wz ， 则 称 密 文 (wu ,xz ,wsye) 是 无 效 的 。 证 明 思 路 如 下 : 首先 证 明 ， 
若 (g1 ,gz vist) 是 一 个 DH 实例 ,那么 在 上 述 交 互 过 程 中 的 视图 与 实际 攻击 时 的 视图 
相同 ;然后 证 明 , 在 实际 攻击 和 上 述 模拟 攻击 中 ， 以 不 可 忽略 的 概率 拒绝 无 效 密 文 ;最 后 
证 明 , 若 (gi ,gz wi ,us) 是 一 个 非 DH 实例 ,并 且 拒绝 所 有 的 无 效 密 文 ,那么 只 能 以 可 
忽略 的 概率 输出 8' 二 8。 因 此 得 出 如 下 结论 : 若 在 实际 攻击 中 ， 有 不 可 忽略 的 概率 ,那么 
在 区 分 DH 实例 和 非 DH 实例 时 具有 不 可 忽略 的 概率 。 

言 3-14 车 (gi,gzwia ,uz) 是 DH 实例 ,那么 的 模拟 是 完备 的 。 

证 明 : 模拟 攻击 和 实际 攻击 在 挑战 阶段 以 前 是 相同 的 。 如 果 (gi ,gz ,wu su) AE DH 
SG) BD ur. = gi ,wz = gi FE rm eZ, WUE LR CEP ui use Sc" uiu Sh. BE 
战 密 文具 有 正确 的 分 布 ,所 以 在 模拟 攻击 中 ,挑战 密 文 和 实际 攻击 时 具有 相同 的 分 布 。 

(断言 3-14 证 毕 ) 
断言 3-15 ”在 实际 攻击 和 模拟 攻击 中 ， 以 不 可 忽略 的 概率 拒绝 无 效 密 文 。 

证 明 : 实际 攻击 和 模拟 攻击 在 挑战 阶段 以 前 是 相同 的 。 因 此 ,在 两 种 攻击 下 拒绝 所 
有 无 效 密 文 的 概率 是 相同 的 。 

从 的 角度 考虑 点 (zi,zz)EZ3: 的 分 布 ,假设 此 时 有 无 限 的 计算 能 力 ,可 由 公开 钥 
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(gi,g2,Cshh) 得 到 log, c, 建 立方 程 logs c52 Hyr HEP y=log,, gz。 但 无 法 从 提交 给 
的 有 效 密 文中 得 到 关于 (zi ,zs ) 的 信息 ,事实 上 ,从 提交 的 有 效 密 文中 仅 能 获得 关系 
log, h=21+Yax2 ,而 这 个 关系 可 以 从 公开 钥 中 获得 。 因 此 在 他 看 来 (zi,zz) 是 在 条 件 
logy c= tr FY 下 均匀 随机 的 。 
用 (ui ,us su ss’ se ) 表 示 首次 提交 的 无 效 密 文 ,其 中 = 二 gf us =g} sri Arh aux R 
示 在 提交 无 效 密 文 之 前 提交 的 所 有 泄露 函数 的 输出 ,aux 的 取 值 最 多 为 2 个。 在 看 
来 ,在 提交 无 效 密 文 之 前 , (zi ,zz ) 满 足 
He. (x ,za )|pk,aux) 之 万 -((Cziyzs)|pk) 一 人 三 logqg 一 人 
其 中 两 次 应 用 引 理 3-75 Cary sre WRH 2logg pk 有 2” 个 取 值 。 
由 平均 最 小 炉 的 定义 可 知 ,在 提交 无 效 密 文 之 前 猜 中 (zi,zs*) 的 概率 至 多 为 
2 Hoy k <A g, RMA 接收 无 效 密 文 ,假设 此 时 有 无 限 的 计算 能 力 ,可 由 (uw 
1 ys sv se ) 得 到 logs, v sri =logg, us +72 = log,, ue ,并 由 公开 钥 (g1 ,gs cj) 得 到 logy, + 
就 能 建立 线性 方程 组 
logs, v = rixi Yrozz 
(3.19) 
logs, c =g ti 
只 要 YO r) 70. ALG. 19) 有 解 ， 因 此 获得 (zi ,zs)。 所 以 接受 第 一 个 无 效 
密 文 的 概率 至 多 为 2'/g。 
对 于 提交 的 其 他 无 效 密 文 ， 接 受 的 概率 求法 和 上 面相 同 。 区 别 在 于 每 拒绝 一 个 
无 效 密 文 ， 就 可 以 从 集合 { (zi ,zs) EZ: log, c 二 zi 十 Yrs}) 中 排除 一 个 (zi ,zs)。 因 此 
接受 第 i 个 无 效 密 文 的 概率 至 多 为 2/(g 一 i 十 1)。 因 为 i 是 多 项 式 有 限 的 ,4 三 logg 一 


e 5 oF 
y 9 个 q 
wog ) ,因此 对 每 一 个 DFi rgi ETARKI. 








(断言 3-15 证 毕 ) 

断言 3-16 Cgi sger u) IE DH 实例 ,并 且 拒绝 所 有 无 效 密 文 ,那么 只 能 以 
可 忽略 的 概率 输出 比特 Bo 

证 明 : 思路 如 下 。 若 (gi sgu su) EAE DH 实例 ,并 且 以 不 可 忽略 的 概率 拒绝 所 
有 无 效 密 文 ,那么 以 不 可 忽略 的 概率 cat ese OP EY Sie i AB Hg logg 一 4 宇 m 十 w (log )。 
对 wht wie 应 用 强 提取 器 ,在 的 视图 已 知 的 情况 下 ,挑战 密 文 的 第 5 项 (与 8 有 关 ) 是 - 接 
近 于 均匀 分 布 的 ,其 中 = 〈 ) 是 可 忽略 的 。 

下 面 从 的 角度 考虑 点 (= ,zx EZ WH. 已 知 公开 钥 (gi1,g;,c,h), 在 看 来 
(21 2 TERE log, haa +z. 下 是 均匀 随机 的 ,其 中 y=log, go. HH 拒绝 所 有 无 效 
密 文 ,敌手 无 法 从 提交 给 的 有 效 密 文中 得 到 更 多 的 信息 ,除了 关系 log, h= 21 +yz 外 。 
因此 敌手 通过 解密 询问 不 能 获得 任何 关于 (= ,zs ) 的 信息 。 

Ü u Sgi sm =g? ,aux 表示 选取 的 所 有 泄露 函数 的 输出 。 假 设 此 时 有 无 限 的 计 
算 能 力 , 可 求 出 y= logs, go+r: = logs, ti + r2 = loge, uz。 但 在 看 来 ,在 挑战 阶段 us wi 
WE: 








Ho (0 uz? |gi,g2 ch ,aux, ui A (riz +yYrez2|¥scshsauxsri srz) 
aux 的 取 值 最 多 为 2 ,因此 
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He riz +yreze l¥.csh,auxsry wr) SH. Crizi trees |¥scshsristz)—A 
BAY yrr 已 知 时 ,在 zi 十 Yrszs 中 ,如 果 ziz 中 一 个 被 确定 , 另 一 个 也 就 确 
定 了 。 所 以 Holz t yrz: ychir ,72) 二 logq。 综 上 : 
He Qu us |g1i,g2 csh,aux,u ,us )>logg—A 
以 不 可 忽略 的 概率 成 立 。 
(断言 3-16 证 毕 ) 
(定理 3-17 证 毕 ) 


3. 一 种 抗 泄露 攻击 的 CCA2 安全 的 公 钥 加 密 方 案 

下 面 是 Cramer-Shoup 加 密 机 制 的 另 一 个 变形 ,在 抵抗 密 钥 泄露 攻击 下 是 CCA2 安 
全 的 。 它 与 上 面 介 绍 的 CCA1 安全 的 方案 主要 的 区 别 在 密 钥 的 结构 上 。 在 抗 泄露 方面 ， 
上 面 介 绍 的 方案 可 以 抵抗 长 度 为 L/4 比特 的 泄露 ,下 面 的 方案 可 以 抵抗 长 度 至 多 为 
L/6 比特 的 泄露 ,其 中 工 是 密 钥 的 长 度 。 

WG 是 阶 为 素数 q WH AAC ) 是 泄露 参数 ,对 可 忽略 的 = 〈 ) ,Ext:G X {0,1} —> 
{0,1)” 为 平均 情况 的 (log gq 一 *，)- 强 提取 器 。 又 设 是 一 族 通 用 的 单 向 喻 希 函 数 
H:G—2,。 

下 面 的 加 密 方案 密 钥 长 度 为 6logd 比特 ,在 泄露 长 度 4 志 logg 一 w(log ) 一 m 下 是 
CCA2 安全 的 ,其 中 m 是 明文 长 度 。 方 案 如 下 。 

(1) 密 钥 产生 过 程 ， 

KeyGen( ) : 

IT2，yI，y2，Z1，Z2< R Z; 

£1082 RG; 

Hey. j 

c= gi! g? |d =g] g} ,h=gh g? ; 

sk= (x1 ,x2 Y19221 922) pk= (gi1,g82 cd hH). 

D 加 密 过 程 (其 中 ME {0,1)”): 

rR Zy3 
spri{0.1}'; 
Uy = gi sU: = g3 se Ext(h’,s )BM,a= H(u ,us ,se) ,v=crd"™; 
输出 (aa ,uz yuysye). 

(3) 解密 过 程 : 


sk (Uy suz yuUySye) : 











a=H(u xsye); 
如 果 v= unt ugt» ,输出 e DExt (ult uz ss), 
否则 输出 |. 
这 是 因为 uh tug et =c'd" =v M uj uz =h. 
该 方案 的 安全 性 可 归 约 到 DDH 假定 或 通用 单 向 哈 希 函数 的 安全 性 。 
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定理 3-18 假设 DDH 是 困难 的 ,上 述 加 密 机 制 方案 在 (L/6 一 w(log ) 一 m) 有 限 的 
密 钥 泄露 攻击 下 是 CCA 安全 的 ,其 中 为 安全 参数 ,L 二 L( ) 是 秘密 钥 长 度 ,m= 二 =m( ) 
是 明文 长 度 。 

证 明 : 若 存在 攻击 本 加 密 方案 的 有 效 敌 手 , 则 能 够 构造 另 一 有 效 敌 手 以 不 可 忽略 
优势 区 分 DH 实例 和 非 DH 实例 。 设 的 输入 为 (gl,gzmx)EG:， 与 按 以 下 方式 
交互 ， 

(1) 初始 化 。 HER ay reer yest ste RZ, MH Ar KE cgi gi? .d=gi gh. 
h= git g} ,sk 一 (zi 622+. V2 021022) spk=(gi+g2-c.d ho H) HH pk A. 

(2) 阶段 1。 使 用 sk 模拟 的 泄露 论 言 机 和 解密 论 言 机 。 

(3) 挑战 。 输出 消息 Mo 和 M,， 选 取 B<p {0,1} M s<p {0.1}, HR e= 
Ext(uii už ， s)OMg a= Huy ,us ,sye)， v 二 wh uzt, RPE AR AR MC (ay ,za yuysye) 发 送 
给 。 

(4) 猜测 。 输出 8, 如 果 Bp' 二 8， 输 出 1, 表 示 (gi,gz ,tu,w) 是 一 个 DH 实例 ; 否 
则 ， 输 出 0, 表 示 (gi ,gz ,wu ,us) 是 一 个 非 DH 实例 。 

断言 3-17 WAR Cg ,gz ,i su) Fe DH 实例 ,那么 的 模拟 是 完备 的 。 

证 明 : 模拟 攻击 和 实际 攻击 除 挑战 密 文 外 是 相同 的 。 当 (gi s gosta ,ws) 是 一 个 DH 
实例 时 ,模拟 攻击 中 的 挑战 密 文 具有 正确 的 分 布 ,这 是 因为 存在 rE2Z, ,使 得 u = gi ,uw = 
gi A et tage et ced" uu =A", RV 在 上 述 交 互 过 程 中 的 视图 与 实际 攻击 时 
的 视图 相同 。 

(断言 3-17 证 毕 ) 

下 面 证 明 当 (gi ,gs wia ,ws ) 是 一 个 非 DH 实例 时 ， 仅 以 可 忽略 的 概率 输出 p =p MA 
现在 起 ,假设 (gi ,gs,w,w) 是 一 个 非 DH 实例 ,其 中 logs, w = ri + logy, u2 = res IF AL 
nr 。 

下 面 用 (wr ,xz su" os" se" ) 表 示 发 送 给 的 挑战 密 文 ,Collision 表示 事件 : 的 解密 
询问 中 有 一 个 (xu ,xz vssse) W E Cui sues ssc) A Cul suz ss’ se") 和 H(u,us,s,e)= 
hlut suz se")。 如 果 logs, ui Flogg, ue + IW ARR XM Cay ,us V os’ se ) 是 无 效 的 。 

下 面 证 明 如 果 事 件 Collision 没有 发 生 ,那么 仅 以 可 忽略 的 概率 输出 比特 8。 具 体 证 
明 分 两 步 : 如 果 事 件 Collision 没有 发 生 , 那 么 拒绝 无 效 密 文 的 概率 是 不 可 忽略 的 ; © 
如 果 拒绝 所 有 无 效 密 文 ,那么 仅 以 可 忽略 的 概率 输出 8。 而 证 明 事 件 Collision 以 可 忽 
略 的 概率 发 生 是 由 于 通用 的 单 向 哈 希 函数 的 安全 性 。 

断言 3-18 ”如 果 (gi ,gs win,w) 是 非 DH 实例 .并 且 事件 Collision 不 发 生 , 那 么 以 
不 可 忽略 的 概率 拒绝 所 有 的 无 效 密 文 。 

TEAR: 从 的 角度 考虑 点 (zi ,x,y1，,ys)EZt 的 分 布 。 先 不 考虑 泄露 函数 ,假设 此 时 

有 无 限 的 计算 能 力 ,可 从 公开 钥 (gi,gs,c,d,hh, 昌 ) 及 挑战 密 文 (wi ,ws,v,s,e) 求 出 
log, cvloga d-log,, v 以 及 Y= 二 logs gz ni 二 logs, wi,rz 王 logs, ue» 就 能 建立 线性 方程 组 
logs, c = tı H Yr: 


logs, d = yı, + Yy: (3. 20) 








loga, v = maxi + ryrs arıyı HarzYyz 
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该 方程 组 有 无 穷 多 个 解 ,因此 从 的 角度 看 ,点 (zi'zz ,yyyz) 是 均匀 随机 的 。 如 果 向 
提交 有 效 密 文 (ud uzv se) WU a Cu) =g g =h", 通过 (ad ,wl ,vs ， 
e') 得 到 的 方程 r' logs, h=r'z1 +r'wz: 仍 是 logs, 及 二 zi 十 Yzz ,而 这 个 关系 可 从 公开 钥 中 
得 到 。 

FA Cul uss’ ss’ se ) 关 (wi ,uss,v,sse) 表 示 首次 提交 的 无 效 密 文 ,其 中 ui = gi = 
gbori Prid =H (uj suss se), H view 表示 在 提交 无 效 密 文 之 前 的 视图 。 #8 
露 ， 可 获得 至 多 4 比特 的 泄露 ,因此 

Ho. (Cr zo sy 92) | view) >How (ay 902591 +2) —A 

由 方程 组 (3. 20) 知 ,(zi,zzyyiyyz) 中 任意 给 定 3 个 变量 的 值 , 则 第 4 个 变量 的 值 也 
就 确定 了 ,所 以 有 Hs, (zi ,zs yyivy) 一 logg。 综 上 Ho (Casar, yi y2) | view) >logq— À. 
由 平均 最 小 粹 的 定义 可 知 ,在 提交 无 效 密 文 之 前 猜 中 (zi,zzyy,'yz) 的 概率 至 多 为 
2 Flee (C= ap ven <9A Jag, 

有 3 种 情况 需要 考虑 : 

情况 1: ususse) = Gu suzssse)o WERT, a ==a 但 v 关 vv ,因此 拒绝 。 

情况 2: (ud ues’ se A Cu sue ssse) H a 二 a。 这 是 不 可 能 的 ,因为 我 们 假设 事件 
Collision 不 会 发 生 。 

情况 3: (ud ,zs ye A Cay su ss,e) 且 a Aa, TEX. E 接受 无 效 密 文 ,那么 

会 得 到 下 述 线性 方程 组 : 
log,,¢ = 21 + ye 


loga, d = yı + Yy2 
(3. 21) 








logs, v = nai +rzYxz tariy +areyy2 








logy, v = ria tro¥e2ta'rin 十 ar27yys 
只 要 (ni 一 rs) (ri 一 r2) (a 一 a ) 关 0, 方 程 组 (3. 21) 就 有 解 ,因此 得 到 (zi ete syns 
yz)， 接 受 首 个 无 效 密 文 的 概率 至 多 为 2*/g。 
对 于 提交 的 其 他 无 效 密 文 ， 接 受 的 概率 求法 和 上 面相 同 。 区 别 在 于 每 拒绝 一 个 无 
效 密 文 ， 就 可 以 排除 一 个 (zz ,yw ,yx )。 因 此 解密 算法 接受 第 ;个 无 效 密 文 的 概率 至 多 


为 2/(q 一 i 十 1)。 因 为 i 是 多 项 式 有 限 的 ,4<logg 一 w (log ) EXE Ah i, = 


Pega pF eT em 
(断言 3-18 证 毕 ) 
言 3-19 如果 (gi ,gs ia ,us) 是 非 DH 实例 ,并 且 拒绝 所 有 无 效 密 文 ,那么 仅 以 
可 忽略 的 概率 输出 比特 8。 

证 明 : 思路 如 下 。 如 果 (gi ,gs +m u) IE DH 实例 ,并 且 拒绝 所 有 无 效 密 文 ,那么 
uiu 的 平均 最 小 炉 至 少 为 ogg 一 4 三 m 十 wo (log )。 强 提取 器 保证 密 文 的 第 5 项 是 - 接 
近 于 均匀 分 布 的 , = ( ) 是 可 忽略 的 。 

FEA 的 角度 考虑 点 (zi ,zs)EZ, 的 分 布 .假设 此 时 有 无 限 的 计算 能 力 , 可 由 公开 
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H Cgi grcd, HIFR] logs, 有 ,建立 方程 logs, h= z1 +yz: HEP y= log, go. M 无 法 从 
提交 给 的 有 效 密 文 中 得 到 关于 (= ,x ) 的 信息 。 事 实 上 ,从 提交 的 有 效 密 文中 仅 能 获 
得 关系 log, /一 二 十 zs (证 法 与 断言 3-18 相同 ) ,而 这 个 关系 已 从 公开 钥 中 获得 了 。 因 
此 在 看 来 (zi ,zx: ERP loga h= z tyz 下 均匀 随机 的 。 

Ku Sgi u =g ,aux 表示 选取 的 所 有 泄露 函数 的 输出 。 假 设 此 时 有 无 限 的 计 
算 能 力 ,可 求 出 y= logs, gz,n = logs, t + r2 = logs, us。 但 在 看 来 ,在 挑战 阶段 uit ue 
满足 : 

Ho (uit u® | g1+g2.c+dshyH, aux. s +t) =Heo (rizi HYrzz: |Yscsd sh,H,auxsr sro) 
与 断言 3-15 类 似 , 可 得 
Ha Cu ug | gı »gz2»csd,h, H ,auxsu suz) >logq—àÀ 








(断言 3-19 证 毕 ) 

断言 3-20 如果 (gi,gs,x ,us) 是 非 DH 实例 ,那么 事件 Collision 发 生 的 概率 是 可 
忽略 的 。 

证 明 : 思路 如 下 。 若 存在 敌手 使 得 事件 Collision 以 不 可 忽略 的 概率 发 生 , 那 么 能 
构造 另 一 个 敌手 “攻击 通用 单 向 哈 希 函数 的 安全 性 。“ 的 构造 与 上 文 构造 的 本 质 上 是 
相同 的 ,除了 在 选 定 函数 H 前 选择 Cu ,ws,s,e) ,其 中 eE10,1)" 不 是 通过 消息 Mu 和 M, 
产生 的 ,而 是 均匀 随机 选取 的 。 只 要 事件 Collision 不 发 生 , 则 就 无 法 区 分 和 “(证 明 过 
程 与 断言 3-18 断言 3-19 相同 ) 。 因 此 “通过 利用 就 可 以 不 可 忽略 的 概率 找 出 (mm ,ws， 
sye) 的 碰撞 。 

算法 “通过 与 进行 以 下 游戏 来 攻击 单 向 哈 希 函数 族 : 

(1) HEH Gey ge ,zyuz)<RG4s<Rf0,1) Meme {0.1} AFF Cay ,wz esse) 5 

(2) “得 到 意欲 攻击 的 哈 希 函 数 H E 

(3) (EMR sree yi Yezi szet rZ BEM c= gh gi ed = gh gh h= gi g? ,sk 
(a1 622 9N1 Yo 921 Ts) pk= (gi1sg2scrdsh, 昌 ), 将 pk 给 。 

(4) “使 用 sk 模拟 的 泄露 论 言 机 和 解密 论 言 机 。 

(5) 在 挑战 阶段 ，' 不 考虑 发 来 的 消息 Mu ,ME {10.1}” ,直接 计算 a= Hay ty oss 
e) v=u tn uzt». , VA Cu suz ,vs,e) 作 为 挑战 密 文 ,发 送 给 。 

(6) 如 果 提交 解密 询问 (wi ,zyu ye) 满足 Cd wud ss se) Æa susse) H Cui, 
ss se) =H (ay uz sve). 输出 (ui ,ws s,s se” VEH (uy suz ose) AINETE 

断言 3-18 保证 了 只 要 事件 Collision 不 发 生 ,“ 以 不 可 忽略 的 概率 拒绝 所 有 的 无 效 
密 文 ;断言 3-19 保证 了 只 要 “拒绝 所 有 的 无 效 密 文 ,那么 就 无 法 区 分 和 “。 特 别 地 ,在 

与 和 与 “的 交互 过 程 中 , 密 文 的 第 5 个 成 分 是 -接近 于 均匀 分 布 的 。 因 此 当 提交 满 
FE Cu) suss se A Cy sue see) A Hah us ss’ se) =H Cay vu ss,e) 的 密 文 (ui xu ss ， 
e ) 时 ，' 以 不 可 忽略 的 概率 找到 了 一 个 碰撞 。 








(断言 3-20 证 毕 ) 
(定理 3-18 证 毕 ) 
109 


mm 密码 学 中 的 可 证 明 安 全 性 





366 抗 弱 密 钥 泄露 攻击 


本 节 考 虑 弱 密 钥 泄 露 攻击 (定义 3-13) ,其 中 敌手 在 得 到 公开 钥 之 前 就 首先 选 定 输出 
长 度 为 4 的 泄露 函数 。 本 节 介 绍 的 是 一 个 通用 方案 ,可 将 任意 加 密 方 案 转化 为 抵抗 
L(1 一 o(1)) 比特 的 弱 密 钥 泄 露 的 加 密 机 制 , 其 中 工 为 密 钥 长 度 。 转 化 后 的 方案 与 原 方案 
效率 一 样 ,并 且 不 需要 额外 的 计算 假设 。 
设 工 ==(KeyGen，，) 是 任意 公 钥 加 密 机 制 ,m= 二 m( OKR KeyGen(1 ) 中 使 用 的 随 
机 串 的 长 度 。 给 定 泄露 参数 1 一 1( ), 设 Ext:{0,1})*，X{0,1}* 一 {0,1}) ?是 平均 情况 
下 的 (k 一 4，)- 强 提取 器 ,其 中 = (2z) 是 可 忽略 的 。 定 义 加 密 机 制 正 = ( KeyGen’, 
AS, SAP's 
(1) 密 钥 产生 过 程 ， 
KeyGem( ) : 
a RT a a dd 
(pk,sk)<-KeyGen(Ext(z,s)); 
输出 SK=2. PK= (pk,s). 
(2) 加 密 过 程 (其 中 PK 一 (pk,s)): 
r<r{0.1}"; 
输出 ( ye (Mar) 5). 
(3) 解密 过 程 : 
sx (Sk,c): 
(pk,sk)<-KeyGen(Ext(zx,s)); 
输出 (0). 
下 述 定理 表明 如 果 工 是 语义 安全 的 ,那么 正 可 以 抵抗 4 比特 的 密 钥 泄露 。 
EH 3-19 设 公 钥 加 密 机 制 也 = (KeyGen，，) 是 语义 安全 的 ,那么 对 任意 的 多 项 式 
A=AC_) I =(KeyGen*, *, DEERNIS AC 7) 有限 的 密 钥 泄露 攻击 下 是 语义 安全 的 。 
具体 说 ,对 有 效 可 计算 的 泄露 函数 族 ,如 果 存 在 PPT 敌手 以 Advere ) 的 优 
势 攻 击 P 的 语义 安全 性 , 则 存在 另 一 PPT 敌手 ,以 至 少 
AdvggA( ) 志 Advesrepe( ) 一 2 ( ) 
的 优势 攻击 加 密 机 制 工 的 语义 安全 性 。 
证 明 : 对 于 BE {0,1}, 与 进行 以 下 游戏 Expr, ，(B) ,游戏 主体 是 : 
(1) HERR rg {0.1}? ssp {0.1}? Al y<-k{0,1}“… ”。 计 算 (pk,sk)<-KeyGen(y)。 
设 PK=(pk,s) 和 SK=sk。 
(2) (Mo ,Mi ,state)<- (PK, fa (1) E |M |=|M: |. 
(3) C*= aM). 
(4) B'< 2(C* state). 
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O 输出 B'。 
由 定义 3-13 及 三 角 不 等 式 ,对 于 任意 的 敌手 有 
Advw™™( )=|Pr[Exps™™™ (0)=1]—Pr[Expe™™™ (1)=1]| 
<IPr[Exps™™™ (0)=1]—Pr[Expr, , (0)=1]] (3,22) 
十 |PrLExprm , (0)=1]—PrlExp,, , (1)=1J| (3, 23) 
WeakLeakge 


十 |PrLExpm , (1)=1]—Pr[Exp,, ~ (1)=1]| (3, 24) 
除了 密 钥 产生 过 程 KeyGen 外 ,实验 Expr., (8) 和 实验 Expr A (B) 是 相同 的 ,在 


WeakLeakge 


Expy, , (8), KeyGen 的 输入 是 随机 串 y, 而 在 Exp ~~ (8), KeyGen 的 输入 是 
Ext(Czr,s)。 然 而 已 知 泄露 信息 f(x) ,zx 的 平均 最 小 炉 是 一 4, 强 提取 器 保证 了 在 上 述 两 
个 实验 中 敌手 视图 之 间 的 统计 距离 至 多 为 。 关 键 点 是 泄露 函数 不 依赖 公开 钥 ,也 不 依赖 
于 种 子 s。 因 此 , 式 (3.22) 和 式 (3. 24) 式 的 上 限 为 。 
此 外 ,存在 一 个 CPA 敌手 使 得 式 (3.23) 的 上 限 是 Advie ) 。 
(定理 3-19 证 毕 ) 
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1984 4E , Shamir 提出 了 一 种 基于 身份 的 加 密 方 案 (Identity-Based Encryption, IBE) 
的 思想 ,并 征询 具体 的 实现 方案 ,方案 中 不 使 用 任何 证 书 ,直接 将 用 户 的 身份 作为 公 钥 ,以 
此 来 简化 公 钥 基础 设施 (Public Key Infrastructure. PKI) 中 基于 证 书 的 密 钥 管理 过 程 。 
例如 用 户 A 给 用 户 B 发 加 密 的 电子 邮件 ,B 的 邮件 地 址 是 bobb@company. com, A 只 要 将 
bob@company. com 作为 B 的 公开 钥 来 加 密 邮件 即 可 。 当 B 收 到 加 密 的 邮件 后 ,向 服务 器 证 
明 自 己 , 并 从 服务 器 获得 解密 用 的 秘密 钥 , 再 解密 就 可 以 阅读 邮件 。 该 过 程 如 图 4-1 所 示 。 


SMH OS 





(1) FA*bob@company.com” 
加 密 邮 件 


加 密 的 邮件 
发 送 者 A 一 一 一 一 一 一 一 一 | 接收 者 B 


图 4-1 基于 身份 的 加 密 方案 示例 

















与 基于 证 书 的 安全 电子 邮件 相 比 ,即使 B 还 未 建立 他 的 公 钥 证 书 ,A 也 可 以 向 他 发 
送 加 密 的 邮件 。 因 此 这 种 方法 避免 了 公 钥 密码 体制 中 公 钥 证 书 从 生成 、 签 发 存储、 维护 、 
更 新 到 撤销 这 一 复杂 的 生命 周期 过 程 。 自 Shamir 提出 这 种 新 思想 以 后 ,由 于 没有 找到 有 
效 的 实现 工具 ,其 实现 一 直 是 一 个 公开 问题 。 直 到 2001 年 ,Boneh 和 Franklin 取得 了 数 
学 上 的 突破 ,提出 了 第 一 个 实用 的 基于 身份 的 公 钥 加 密 方案 四。 一 个 IBE 方案 由 以 下 
4 个 算法 组 成 : 

(1) 初始 化 。 为 随机 化 算法 ,输入 是 安全 参数 .输出 为 系统 参数 params( 为 公开 的 全 
程 参 数 ) 和 主 密 钥 msk. AH (params-msk)<Init( )。 


ma 密码 学 中 的 可 证 明 安 全 性 ms 


(2) 加 密 。 为 随机 化 算法 ,输入 是 消息 M、 系 统 参数 params 以 及 接收 方 的 身份 ID， 
输出 密 文 CT, 仅 当 接收 方 具有 相同 身份 ID 时 ,才能 解密 。 表 示 为 CT= wM). 

(3) 密 钥 产生 。 为 随机 化 算法 ,输入 是 系统 参数 params、 接 收 方 的 身份 ID ARER 
钥 msk ,输出 会 话 密 钥 sk, IRH sk<IBEGen(ID), 

(4) 解密 。 为 确定 性 算法 ,输入 会 话 密 钥 sk 及 密 文 CT, 输 出 消息 M, 表 示 为 M 一 
WET 

Boneh 和 Franklin 的 方案 使 用 椭圆 曲线 上 的 双 线 性 映射 ( 称 为 Weil 配对 和 Tate 配 
对 ) ,将 用 户 的 身份 映射 为 一 对 公开 钥 - 秘 密 钥 对 。 方 案 的 安全 性 证 明 使 用 了 一 种 理想 化 
的 模型 , 称 为 随机 论 言 机 模型 ,随机 论 言 机 模型 的 概念 见 3. 1. 3 节 。 

文献 [2] 首 先 给 出 了 标准 模型 下 的 IBE 方案 ,然而 这 些 方案 是 在 “ 选 定 身份 ”的 模型 
下 ,其 中 攻击 者 在 看 到 系统 的 公开 参数 前 ,就 需要 声明 自己 意欲 攻击 的 身份 ,因而 限制 了 
攻击 者 的 攻击 能 力 , 所 以 * 选 定 身份 ”模型 是 一 种 弱 安全 模型 。 之 所 以 要 使 用 * 选 定 身份 
模型 ,是 因为 要 把 自己 意欲 攻击 的 困难 问题 以 某 种 方式 镶嵌 在 选 定 身份 对 应 的 公开 参 
数 中 ,使 得 一 方面 能 够 回答 的 询问 , 另 一 方面 能 利用 的 输出 解决 困难 问题 。 

以 后 文献 L3] 给 出 的 方案 去 掉 了 * 选 定 身份 > 这 一 限制 ,这 种 方案 称 为 完全 安全 模型 。 
在 完全 安全 模型 中 ， 无 法 猜测 对 哪个 身份 进行 攻击 ,需要 将 身份 空间 随机 划分 为 两 部 
分 ,其 中 一 部 分 用 来 为 的 密 钥 提取 询问 进行 应 答 , 另 一 部 分 用 于 的 挑战 ,这 种 方式 称 为 
分 离 式 策略 。 因 为 对 身份 空间 的 划分 是 随机 的 ,存在 失败 的 可 能 。 对 偶 系 统 加 密 呈 可 
以 克服 分 离 式 策略 产生 的 上 述 问题 ,方案 中 将 密 文 和 密 钥 取 两 种 不 可 区 分 的 形式 ， 经 过 
密 钥 提取 询问 得 到 的 所 有 密 钥 都 不 能 解密 挑战 密 文 , 从 而 使 得 安全 性 证 明 变 得 相对 容易 。 

分 层次 的 IBE 系统 (Hierarchical Identity-Based Encryption, HIBE) 最 早 由 文献 [6] 
提出 , 它 是 对 IBE 系统 的 推广 ,反映 的 是 组 织 的 层次 关系 。 然 而 在 文献 [6] 的 方案 中 , 密 
文 长度 、 密 钥 长 度 以 及 加 密 时 间 、 解 密 时 间 都 随 分 层 深度 的 增加 而 线性 地 增长 。 文 献 [7] 
给 出 了 一 种 密 文 长 度 为 常数 的 HIBE 方案 。 
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要 定义 IBE 的 语义 安全 ,应 允许 敌手 根据 自己 的 选择 进行 秘密 钥 询 问 , 即 敌 手 可 根 
据 自 己 的 选择 询问 公开 钥 ID 对 应 的 秘密 钥 ,以 此 来 加 强 标准 定义 。 

id IBE WRH I.I KY IND 游戏 ( 称 为 IND-ID-CPA 游戏 ) 如 下 : 

(1) 初始 化 。 挑 战 者 输入 安全 参数 ,产生 公开 的 系统 参数 params 和 保密 的 主 密 钥 。 

(2) 阶段 1( 训 练 )。 政 手 发 出 对 ID 的 秘密 钥 产生 询问 。 挑 战 者 运行 秘密 钥 产生 算 
法 ,产生 与 ID 对 应 的 秘密 钥 d, 并 把 它 发 送 给 敌手 ,这 一 过 程 可 重复 多 项 式 有 界 次 。 

G) 挑战 。 敌 手 输出 两 个 长 度 相等 的 明文 M M, 和 一 个 意欲 挑战 的 公开 钥 ID”。 
唯一 的 限制 是 D 不 在 阶段 1 中 的 任何 秘密 钥 询 问 中 出 现 。 挑 战 者 随机 选取 一 个 比特 值 
B<r{0,1} ,计算 C* = m (My) ,并 将 C* 发 送 给 敌手 。 

(4) 阶段 2( 训 练 )。 敌 手 发 出 对 另外 ID 的 秘密 钥 产生 的 询问 ,唯一 的 限制 是 IDA 
ID* ,挑战 者 以 阶段 1 中 的 方式 进行 回应 ,这 一 过 程 可 重复 多 项 式 有 界 次 。 

(5) 猜测 。 敌 手 输出 猜测 PE {0,1} ,如 果 有 一 8. 则 敌手 攻击 成 功 。 
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敌手 的 优势 定义 为 安全 参数 的 函数 : 
Advi?@crA( )= |PrLp' = f- 
IND-ID-CPA 游戏 的 形式 化 描述 如 下 : 


IDCPA( ) 


i 
2 


Expn” 
(params,msk) <— Init( ); 
(M,.M,.ID* ) < Eca (params) ; 
B<ri0,1}.C* = m (Mp); 
Bp’ < BEGen gps © (C* Dig 
如 果 8 = B, 则 返回 1; 和 否则 返回 0. 
其 中 IBEGen(，。 ) 表 示 敌 手 向 挑战 者 做 身份 的 秘密 钥 询问 ,IBEGenz*m* ORRE 
向 挑战 者 做 除 ID” 外 的 身份 的 秘密 钥 询问 。 
敌手 的 优势 为 


AdvfhpmcrA( ) 一 Pr[ Exp? cra ( ) 一 1] 一 4 


定义 4-1 如 果 对 任何 多 项 式 时 间 的 敌手 ,存在 一 个 可 忽略 的 函数 ( ) ,使 得 
Advan? PAC ) 之 ( ), 那 么 就 称 这 个 加 密 算法 荆 在 选择 明文 攻击 下 具有 不 可 区 分 性 ,或 
者 称 为 IND-ID-CPA 安全 。 
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在 IBE 体制 中 需 加 强 标准 CCA 安全 的 概念 ,因为 在 IBE 体制 中 ,敌手 攻击 公开 钥 
ID*( 即 获取 与 之 对 应 的 秘密 钥 ) 时 ,他 可 能 已 有 所 选用 户 ID 的 秘密 钥 ( 多 项 式 有 界 个 )， 
因此 选择 密 文安 全 的 定义 就 应 允许 敌手 获取 与 其 所 选 身份 (但 不 是 ID* ) 相 应 的 秘密 钥 ， 
我 们 把 这 一 要 求 看 作 是 对 密 钥 产生 算法 的 询问 。 

一 个 IBE 加 密 方案 二 在 适应 性 选择 密 文 攻击 下 具有 不 可 区 分 性 ,如 果 不 存在 多 项 式 
时 间 的 敌手 , 它 在 下 面 的 IND 游戏 ( 称 为 IND-ID-CCA 游戏 ) 中 有 不 可 忽略 的 优势 。 

(1) 初始 化 。 挑 战 者 输入 安全 参数 ,产生 公开 的 系统 参数 params 和 保密 的 主 密 钥 。 

(2) 阶段 1( 训 练 )。 敌 手 执行 以 下 询问 之 一 (多 项 式 有 界 次 ): 

。 对 ID 的 秘密 钥 产 生 询 问 。 挑 战 者 运行 秘密 钥 产生 算法 ,产生 与 ID 对 应 的 秘密 钥 

d ,并 把 它 发 送 给 敌手 。 
。 对 (ID,C) 的 解密 询问 。 挑 战 者 运行 秘密 钥 产生 算法 ,产生 与 ID 对 应 的 秘密 钥 d， 
青 运行 解密 算法 ,用 4 解密 C ,并 将 所 得 明文 发 送 给 敌手 。 

上 面 的 询问 可 以 自 适应 地 进行 ,是 指 执行 每 个 询问 时 可 以 依赖 于 以 前 询问 得 到 的 询 
问 结果 。 

(3) 挑战 。 敌 手 输出 两 个 长 度 相等 的 明文 Ms M 和 一 个 意欲 挑战 的 公开 钥 ID* 。 
唯一 的 限制 是 ID’ 不 在 阶段 1 中 的 任何 秘密 钥 询问 中 出 现 。 挑 战 者 随机 选取 一 个 比特 值 
pe{0,1) ,计算 C* = m (Mp ,并 将 C 发 送 给 敌手 。 

(4) 阶段 2( 训 练 )。 敌 手 产 生 更 多 的 询问 ,每 个 询问 为 下 面 询问 之 一 : 
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。 对 ID 的 秘密 钥 产 生 询 问 (ID 关 ID* )。 挑 战 者 以 阶段 1 中 的 方式 进行 回应 。 

。 对 (ID,C) 的 解密 询问 ((ID,C) 关 (ID* ,C" ))。 挑 战 者 以 阶段 1 中 的 方式 进行 
回应 。 

(5) 猜测 。 敌 手 输出 猜测 g E {0,1) ,如 果 8 二 B, 则 敌手 攻击 成 功 。 

敌手 的 优势 定义 为 安全 参数 的 函数 : 


AdvBmpmecA( ) = |Pr[8' = p] — 


IND-ID-CCA 游戏 的 形式 化 描述 为 


2 


1 
2 


(params, msk) < Init( ); 

(M, -M, .ID* ) <— Saw. “© (params); 

B~<r{0.1},C* = m (Mp); 

P ao TBEGen yp* (+)+ (ID。 aO (C ); 

如 果 8 = B, 则 返回 1; 和 否则 返回 0. 
其 中 IBEGen(。) 表 示 敌 手 向 挑战 者 做 身份 的 秘密 钥 询 问 ，(“。 ) 表示 敌手 向 挑战 者 做 解 
密 询 问 : 挑战 者 先 运行 秘密 钥 产 生 算法 IBEGen(。) ,再 运行 解密 算法 ,用 IBEGen(，) 产 
生 的 秘密 钥 对 询问 的 密 文 解密 。IBEGenz=m* (。) 表 示 敌 手 向 挑战 者 做 除 ID" 以 外 的 身 
份 的 秘密 钥 询 问 ，zap* ,c*，,(， ) 表 示 敌 手 向 挑战 者 做 除 (ID* ,C* ) 以 外 的 解密 询问 。 询 
问 可 以 自 适应 地 进行 ,是 指 执行 每 个 询问 时 可 以 依赖 于 执行 前 面 询问 时 得 到 的 询问 结果 。 

敌手 的 优势 定义 为 安全 参数 的 函数 : 


AdvgmmccA( ) = |Pr[ExpBemccA( ) = 1—4 


定义 4-2 ”如 果 对 任何 多 项 式 时 间 的 敌手 ,存在 一 个 可 忽略 的 函数 ( ) ,使 得 
Advan? PAC Y< ( ) ,那么 就 称 这 个 加 密 算法 卫 在 选择 密 文 攻击 下 上 共有 不 可 区 分 性 ,或 
者 称 为 IND-ID-CCA 安全 。 
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前 两 个 IBE 模型 中 ,敌手 能 发 起 适应 性 选择 密 文 询问 和 适应 性 选择 身份 询问 ,询问 
结束 后 ,敌手 适应 性 选择 一 个 希望 攻击 的 身份 ,并 以 这 个 身份 挑战 方案 的 语义 安全 性 。 选 
定 身 份 IBE 是 比 这 个 安全 模型 弱 的 一 种 安全 模型 ,其 中 敌手 必须 事先 选取 ( 非 适应 性 地 ) 
一 个 意欲 攻击 的 身份 ,然后 再 发 起 适应 性 选择 密 文 询 问 和 适应 性 选择 身份 询问 。 其 模型 
需 在 4.1.2 节 和 4.1.3 节 的 IND 游戏 的 Init 之 前 ,敌手 声称 它 意欲 攻击 的 身份 ,这 种 
IND 游戏 称 为 IND-sID-CPA 或 IND-sID-CCA 游戏 。 


415 分 层次 的 IBE 系统 


分 层次 的 IBE 系统 通过 对 组 织 层级 进行 划分 而 提供 了 更 多 的 功能 。 高 层 用 户 可 以 

将 秘密 钥 委 派 给 低层 的 用 户 。 例 如 ,身份 是 “University of Texas: computer science 

department” 的 用 户 可 以 将 秘密 钥 委派 给 身份 是 "University of Texas: computer science 
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department; grad student” 的 用 户 ,但 不 能 委派 给 不 是 以 “University of Texas: computer 
science department” 作 为 开头 身份 的 用 户 。 
在 HIBE 中 ,身份 是 一 个 向 量 。 一 个 4 维 向 量 表示 一 个 分 层 深度 为 的 身份 。 密 钥 
产生 算法 输入 深度 为 4 的 身份 天 = Cho Ie oe 1O ,输出 身份 芒 对 应 的 秘密 钥 dido 
此 外 在 HIBE 中 还 有 一 个 算法 , 称 为 委派 : 输入 深度 为 [一 1>0 WL HID = 
Ci ,了 ,… ,Ti) 对 应 的 秘密 钥 dibe ,输出 身份 芒 对 应 的 秘密 钥 d.il H dp Delegate 
(di 1D). 
将 主 密 钥 可 看 作 深度 为 0 时 的 秘密 钥 ,IBE 系统 就 是 一 个 身份 深度 都 为 1 的 HIBE 
系统 。 
选 定 身份 攻击 下 的 HIBE 由 下 面 的 游戏 ( 称 为 IND-sID-CCA2 游戏 ) 定 义 。 
(1) 初始 化 。 敌 手 输 出 挑战 身份 若 " = Cy ,五 及)。 
(2) 系统 建立 。 由 挑战 者 完成 ,输入 最 大 深度 ABE 时 0= 1) ,产生 系统 参数 params 
和 主 密 钥 msk, params 公开 ,msk 保密 。 
(3) 阶段 1: 敌手 发 出 以 下 两 种 询问 之 一 (可 多 项 式 有 界 次 ) 。 
。 芒 的 秘密 钥 产 生 询 问 或 委派 询问 ,其 中 项 = C Le Lu), BORTDA 
EID 的 前 级 ( 即 不 存在 wu<k, 使 得 对 所 有 的 i 二 1,2,…,u 有 1; 二 1* )。 挑 战 者 运 
行 密 钥 产生 算法 或 委派 算法 获得 丫 对 应 的 秘密 钥 d ,将 d 发 送 给 敌手 作为 本 次 询 
问 的 响应 。 
。 D.C) A fi if ADT LA FTD® 或 是 访 ' 的 前 级 ) 。 挑 战 者 运行 秘密 钥 产 生 
算法 或 委派 算法 ,产生 与 全 对 应 的 秘密 钥 d, 青 运行 解密 算法 ,用 秘密 钥 d 解密 
C ,并 将 所 得 明文 发 送 给 敌手 作为 本 次 询问 的 响应 。 
上 面 的 询问 可 以 自 适 应 地 进行 。 
(4) 挑战 。 敌 手 输出 两 个 长 度 相 等 的 明文 Mo, M: ,挑战 者 随机 选取 一 个 比特 值 
B<-g{0,1} ,计算 C" = o (Mp), 并 将 C' 发 送 给 敌手 。 
(5) 阶段 2。 敌手 发 出 另外 的 适应 性 询问 (可 多 项 式 有 界 次 ) ,其 中 每 次 询问 是 下 面 两 


种 之 一 : 
。 芒 的 秘密 钥 产 生 询问 或 委派 询问 ,其 中 功 不 是 全 的 前 级 。 挑 战 者 以 阶段 1 中 的 
方式 进行 回应 。 
. (着 ,C) 的 解密 询问 ,其 中 当 芒 = 六 RED 的 前 级 时 ,C 取 C" 。 挑 战 者 以 阶段 1 
中 的 方式 进行 回应 。 
(6) 猜测 。 敌 手 输出 猜测 B"E {0,1) ,如 果 8 一 8, 则 敌手 攻击 成 功 。 
的 优势 定义 为 


1 


Advil ) = |Pr[p’ = pl- 5 


IND-sID-CCA2 游戏 的 形式 化 描述 如 下 : 


117 


mm 密码 学 中 的 可 证 明 安 全 性 Eeessssssssssa 


Expgs( ) 
D = Uy ,BT )s 


(params, msk) < Init( ); 


CM ,Mi ,ID* ) < A PEG () Delenate. ihe (PDC) (params) ; 
B<r{0.1},C* = p (My); 
g a AEG O Delegates c OORDE eO C), 


SP A <ID* 表示 项 的 前 级 (包括 项" A). ADD 表示 不 能 取 访 * AY HR aD 
本 身 )。 的 优势 定义 为 
Advgms( ) = 
安全 性 定义 与 定义 4-2 类 似 。 
如 果 模 型 不 是 选 定 身份 攻击 下 的 , 则 在 上 述 IND-sID-CCA2 游戏 中 ,敌手 在 挑战 阶段 
选择 意欲 攻击 的 身份 访 * 。 


4.2 随机 论 言 机 模型 下 的 基于 身份 的 密码 体制 





Pr [Expr ™ ( J) = 11-4 





421 BF 方案 所 基于 的 困难 问题 
本 节 介绍 Boneh 和 Franklin 提出 的 IBE™ ,简称 为 BF 方案 。 


1. 椭圆 曲线 上 的 DDH 问题 

设 G1 是 一 个 阶 为 gq 的 群 (椭圆 曲线 上 的 点 群 ), G1 中 的 DDH (Decision Diffie- 
Hellman) 问 题 是 指 已 知 PaP、bP、cP, 判 定 cab mod q 是 否 成 立 ,其 中 P EGS 中 的 随 
机 元 素 ,a.bc 是 Z ;中 的 随机 数 。 

由 双 线 性 映射 的 性 质 可 知 : 

c = ab mod gS el(P,cP) = é(aP bP) 

因此 可 将 判定 cab mod q 是 否 成 立 转变 为 判定 6(P,cP) 二 el(aP,bP) 是 否 成 立 , 所 

以 Gi 中 的 DDH 问题 是 简单 的 。 


2. 椭圆 曲线 上 的 CDH 问题 

Gi( 仍 是 椭圆 曲线 上 的 点 群 ) 中 的 计算 性 Diffie-Hellman (Computational Diffie- 
Hellman,CDH) 问 题 是 指 已 知 P aP, bP, R abP, 其 中 PP 是 G? 中 的 随机 元 素 ,a、b 是 
Zo 中 的 随机 数 。 

与 G1 中 的 DDH 问题 不 同 .Gi 中 的 CDH 问题 不 因 引 入 双 线 性 映射 而 解决 ,因此 它 仍 
是 困难 问题 。 

3. BDH 问题 和 BDH 假设 

由 于 Gi 中 的 DDH 问题 简单 ,因此 就 不 能 用 它 来 构造 Gi 中 的 密码 体制 。BF 方案 的 安 
全 性 是 基于 CDH 问题 的 一 种 变形 , 称 之 为 计算 性 双 线 性 DH 假设 。 
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计算 性 双 线 性 DH (Bilinear Diffie-Hellman, BDH) 问 题 ,是 指 给 定 (P,aP,bP,cP) 
(a,b,cEZ I), 计 算 w=e(P,P)*“ EG,, 其 中 e 是 一 个 双 线 性 映射 ,P 是 G | 的 生成 元 ,Gi、 
Gs 是 阶 为 素数 q 的 两 个 群 。 设 算法 A 用 来 解决 BDH 问题 ,其 优势 定义 为 r, 如 果 
Pr | ACP aP BP cP) = (PP) |S r 
目前 还 没有 有 效 的 算法 解决 BDH 问题 ,因此 可 假设 BDH 问题 是 困难 问题 ,这 就 是 
BDH 假设 。 


422 BF 方案 描述 


下 面 用 Z ,表示 在 模 g 加 法 下 的 群 10,1,…,g 一 1} 。 对 于 阶 为 素数 的 群 G ,用 G "表示 
集合 G 一 {0} ,这 里 O 为 G 中 的 单位 元 素 。 用 Z + 表示 正 整 数 集 。 
下 面 描述 的 BF 方案 是 基本 方案 , 称 为 Basicldent。 
S 是 安全 参数 ,是 BDH 参数 生成 算法 ,其 输出 包括 素数 g, 两 个 阶 为 g 的 群 G,、 
Ga ,一 个 双 线 性 映射 :G1 X G1 一 Gs 的 描述 。 用 来 确定 q 的 大 小 ,例如 可 以 取 g 为 比 
特长 。 
(1) 初始 化 。 
Init( ): 
(gyG1 G2) ; 
PerG; 
sRZs ,Pp = sP; 
选 Hi:{0,1}*” > Gy ,H;:G:— {0,1}"; 
params = (g,Gi ,Ga ,én,P,Pp,, Hi s H2) smsk = s. 
其 中 己 是 Gi 的 一 个 生成 元 ,* HERH, H H: 是 两 个 喻 希 函 数 ,n 是 待 加 密 的 消息 的 
长 度 。 消 息 空间 为 {0,1)", 密 文 空间 为 二 G7? X{0,1)" ,系统 参数 params=(q.G,,G,.é, 
nP, Pps Hi, HOAR W, EBH s 是 保密 的 。 
(2) 加 密 ( 用 接收 方 的 身份 ID 作为 公开 钥 ,其 中 ME (0,1). 
Qn = HAD € Gr; 
r—rRZe3 
CT = GP ,MO H: (gb)). 
其 中 gm =ê(Qm: Po) EG? ,四 是 异 或 运算 。 
(3) 密 钥 产生 (其 中 IDE {0,1)" )。 
IBEGen(s,ID): 
Qn = Hi(ID)EG?; 
dp = sQn. 
(4) 解密 (其 中 CT=(U,V)E€ )。 
ap (CT): 
返回 V © H2(é(dp.U)). 
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这 是 因为 
e(dmp,U) = é(sQw.rP) = ê (Qm, P)” = ê (Qw, Paw)” = giv 
方案 中 用 到 主 密 钥 的 概念 , 密 钥 可 根据 其 不 同 用 途 分 为 会 话 密 钥 和 主 密 钥 两 种 类 型 ， 
会 话 密 钥 又 称 为 数据 加 密 密 钥 , 主 密 钥 又 称 为 密 钥 加 密 密 钥 。 如 果 主 密 钥 泄露 了 , 则 相应 
的 会 话 密 钥 也 将 泄露 ,因此 主 密 钥 的 安全 性 高 于 会 话 密 钥 的 安全 性 。 
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定理 4-1 在 Basicldent 中 , 设 哈 希 函数 H, H: 是 随机 论 言 机 ,如 果 BDH 问题 在 
生成 的 群 上 是 困难 的 ,那么 Basicldent 是 IND-ID-CPA 安全 的 。 

具体 来 说 ,假设 存在 一 个 IND-ID-CPA 敌手 以 ( ) 的 优势 攻破 Basicldent 方案 ， 
最 多 进行 qe>0 次 密 钥 提取 询问 qu, >0 次 H: 询问 ,那么 一 定 存在 一 个 敌手 至 少 以 


2() 
e + ge)gn, 


的 优势 解决 生成 的 群 中 的 BDH 问题 ,其 中 e 是 自然 对 数 的 底 。 
定理 4-1 是 将 BasicIdent 归 约 到 BDH 问题 ,为 了 证 明 这 个 归 约 ,我 们 先 将 BasicIdent 
归 约 到 一 个 非 基 于 身份 的 加 密 方案 BasicPub ,再 将 BasicPub 归 约 到 BDH 问题 , 归 约 的 
传递 性 是 显然 的 。 
BasicPub 加 密 方案 如 下 定义 : 
(1) 密 钥 产生 。 这 一 步 将 初始 化 和 密 钥 产 生 两 步 合 在 一 起 。 
IBEGen( ) : 
(q,G..G,,.e)< ; 
P<, Gi; 
ser Ze Pow = SP3 
Qm <r Gi ,dp = sQp; 
选 Hz:G:—> {0.1}"5 
params = (g,G1,G: sên, P, Pp s Hi H2) msk = s. 
其 中 ,P ÆG SERT s 作为 主 密 钥 ,dw 作为 秘密 钥 ,H, 是 喻 希 函 数 ,n 是 待 加 密 的 
消息 的 长 度 。 系 统 参数 params 一 (q,Gi ,Gs,E,n,P,Ppw ,Qo, 日 ,) 是 公开 的 , 主 密 钥 ;是 


Adv™4#( ) 之 


保密 的 。 
(2) 加 密 ( 用 接收 方 的 身份 ID 作为 公开 钥 ,其 中 ME10.1)”) 。 
r<rRZ73 


CT = GP ,MO H: (gb)). 
其 中 gm = (Qm: Pp) EG? ,四 是 异 或 运算 。 
(3) 解密 ( 其 中 CT=(U,VIE )。 
a ED: 


返回 VV H,(é(dp.U)). 
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在 Basicldent 中 ,Qw 是 根据 用 户 的 身份 产生 的 。 而 在 BasicPub 中 Qm 是 随机 选取 的 
一 个 固定 值 ,因此 它 与 用 户 的 身份 无 关 。 

首先 证 明 BasicIdent 到 BasicPub 的 归 约 。 

引 理 4-1 设 Hi 是 从 {0,1)* 到 GY 的 随机 论 言 机 ， 是 IND-ID-CPA To 
( ) 攻 击 Basicldent isi fis 最 多 进行 qe > 0 次 密 钥 提取 询问 ,那么 存在 一 


IND-CPA 敌手 以 最 少 一 一 一 ~ < 7 的 优势 成 功 攻击 BasicPub 。 


证 明 : 挑战 者 先 建立 BasicPub 方案 ,敌手 攻击 BasicPub 方案 时 ,以 为 子 程序 ,过 
程 如 图 1-7 所 示 ,其 中 方案 1 为 BasicIdent ,方案 2 为 BasicPub 。 

具体 过 程 如 下 : 

(1) 初始 化 。 挑 战 者 运行 BasicPub 中 的 密 钥 产生 算法 生成 公开 钥 Kyu, = Cq Gi Ges 
2sn,P,Ppwb ,Qo ,日 ;) ,保留 秘密 钥 dm 一 *Qmn 。 获得 公开 钥 。 

下 面 (2) 一 (6) 步 ， 模 拟 的 挑战 者 和 进行 IND 游戏 。 

(2) 的 初始 化 。 

发 送 Basicldent 的 公开 钥 Kpw =(q-Gi Gz ,em,P,Pu Hi H2) 。 

因 BasicPub 中 的 公开 钥 无 H ,所 以 为 了 承担 的 挑战 者 ,需要 构造 一 个 H, 列表 
HY , 它 的 元 素 类 型 是 4 元 组 (IDi ,Qi .b; coin) 。 

G) H, 询问 。 设 询问 ID, 的 Hi 值 ， 如 下 应 答 

O 如 果 ID; CAH. UQEG 作为 H, 的 值 应 答 。 

@ 和 否则， 随机 选择 一 个 coin<-k{0,1}) 并 设 Prlcoin=0]=6(6 的 值 待定 )。 再 选择 
随机 数 < 一 RZ。 » 

。 WR coin 二 0, 计 算 Qi 二 b;.QDEG? 。 

。 否则 ,计算 Q=b.PEG?。 

将 (ID .Q;.6;.coin) MA Hi" ,并 以 H, ID) =Q; 回应 。 

这 里 的 coin 作为 的 猜测 : coin=0 表示 将 对 这 次 询问 的 ID, 发 起 攻击 。 

(4) 密 钥 提取 询问 -阶段 1( 最 多 进行 gz 次 )。 设 ID; 是 向 发 出 的 密 钥 提取 询问 。 

O WR coin 二 0， 报 错 并 退出 (此 时 ， 原 打算 利用 对 Basicldent 的 攻击 来 攻击 
BasicPub, 此 时 无 法 利用 ,所 以 对 BasicPub 的 攻击 失败 )。 

@ 否则 从 HÏ 取出 (ID;, Qi» bi» coin). R di 二 bPpw,， 并 将 di 作为 ID; 对 应 的 
Basicldent 的 秘密 钥 给 。 

这 是 因为 di =sQ;=s(b:P ) =b; (sP) =b;P wbo 

注意 : dm =sQm Æ BasicPub P #9 4 FA 3d; =sQ; =b;P pa 2% Basicldent 中 的 秘密 钥 。 

(5) 发 出 挑战 。 

设 的 挑战 是 ID* .M,.M,, Æ HAERIAD; .Q;.b; coin) ,使 得 ID,=ID” , 

O 如 果 coin=1. 报错 并 退出 。 

© 如 果 coin=0, $ Mo M, 给 自己 的 挑战 者 ,挑战 者 随机 选 Be ea{0,1}) ,以 BasicPub 
方案 加 密 Ms 得 C* =(U,V) (BasicPub 密 文 ) 作 为 对 的 应 答 。 WA C’ =r U,V) 
(Basicldent 密 文 ) 作 为 对 的 应 答 。 这 是 因为 ID 对 应 的 秘密 钥 d =sQ;=sbhQn= 
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b;sQw =bid w+ Bl Basicldent 秘密 钥 d 是 BasicPub 秘密 钥 dw 的 6b; 倍 , 且 
êld" sU) = êèlbid wb U) = (dp,U) 
挑战 过 程 如 图 4-2 所 示 。 
1. My, M, 1. Mp Mi, ID* 
2. C*=(U, V) 
3p 
















21. C¥=(b, | U,V) 
3.6 






挑战 者 





4-2 Basicldent 到 BasicPub 归 约 过 程 中 的 挑战 阶段 


(6) 密 钥 提取 询问 -阶段 2。 与 密 钥 提取 询问 -阶段 1 相同 。 
(7) 猜测 。 输出 猜测 8", 也 以 8 作为 自己 的 猜测 。 
断言 4-1 在 以 上 归 约 过 程 中 ,如 果 不 中 断 , 则 的 模拟 是 完备 的 。 
AB 在 以 上 模拟 中 , 当 猜测 正确 时 ， 的 视图 与 其 在 真实 攻击 中 的 视图 是 同 分 布 
的 。 这 是 因为 以 下 两 点 。 
(1) ”的 Hi 询问 中 的 每 一 个 都 是 用 随机 值 来 应 答 的 : 
。 coin=0 时 是 用 Q; 二 6;Qw 来 应 答 的 。 
。 coin=1 时 是 用 Q; 二 6P 来 应 答 的 。 
FH OO; 的 随机 性 , 知 Q 是 随机 均匀 的 。 而 在 对 Basicldent 的 真实 攻击 中 ， 得 到 的 是 
H: 的 函数 值 ,由 于 假定 H, 是 随机 论 言 机 ,所 以 得 到 的 Hl 的 函数 值 是 均匀 的 。 
(2) 对 的 密 钥 提取 询问 的 应 答 d; 二 6;Ppw 等 于 SQ; ,因而 是 有 效 的 。 
所 以 两 种 视图 不 可 区 分 。 
(断言 4-1 证 毕 ) 
继续 引 理 4-1 的 证 明 。 由 断言 4-1 知 ， 在 模拟 攻击 中 的 优势 
AdvgmmceA( ) = |Pr[ExppP PAC ) = 1-4 


SKB HEA Adv PO ) 相 等 ,至 少 为 。 
E 的 猜测 是 正确 的 , 且 在 第 (7) 步 成 功 攻击 了 Basicldent 的 不 可 区 分 性 , 则 就 成 
功 攻 击 了 BasicPub 的 不 可 区 分 性 。 
因为 在 第 (4)、(6) 步 不 中 断 的 概率 为 (1 一 6)"% ,在 第 (5) 步 不 中 断 的 概率 为 6, 所 以 
不 中 断 的 概率 为 (1 一 6)*86， 的 优势 为 
(1 —6)% © d+ AdvBPPrA( ) = (1-6) ee () 


类 似 于 定理 3-11,6= 二 二 I 时 "(1 一 6) + b+ ( ) 达 到 最 大 ， RAKAA ay ae 


ee 1 证 毕 ) 

下 面 证明 BasicPub 到 BDH 问题 的 归 约 。 

引 理 4-2 i H: 是 从 G; 到 {0,1)" 的 随机 论 言 机， 是 以 ( ) 的 优势 攻击 BasicPub 
WHF. A 最 多 对 H: 询问 gu, >0 次 ,那么 存在 一 个 敌手 能 以 至 少 2 〈( )/gn, 的 优势 
解决 上 的 BDH 问题 。 

证 明 : 为 了 证 明 BasicPub 到 BDH 问题 的 归 约 , 即 已 知 (P,aP,bP,cP)==(P,Pi， 
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P,,P;) , 想 通过 对 BasicPub 的 攻击 , 求 D=ê(P,P)* EG,。 在 以 下 思维 实验 中 作为 
的 挑战 者 建立 BasicPub 方案 ， 设 法 要 把 BDH 问题 嵌入 到 BasicPub 方案 。 过 程 如 
图 4-3 所 示 , 为 了 更 好 地 理解 图 ,其 中 的 步 数 和 下 面 证 明 中 的 步 数 不 对 应 。 









DRA 
BDH 问 题 


@My, M, 





Smi Dee LC 
eae Ome" 





4-3 BasicPub 到 BDH 问题 的 归 约 


(1) 生成 BasicPub 的 公 钥 Ku 一 (q,Gi Ga,emP, Pou +Qu + H2) EP Ppa = Pi > 
Qw=P:. MF Puo =sP=P, =aP, HiV s=a, dm =sQo =aQm 一 abP。H 的 建立 在 第 
(2E, 

(2) H: 询问 。 建立 一 个 HERH) ,元素 类 型 为 (X;,H;)， 在 任何 时 候 都 能 
发 出 对 H? 的 询问 (最 多 qn, 次 )， 做 如 下 应 答 : 

。 如 果 X: 已 经 在 五 所 ,以 CX) =H 应 答 。 

。 否则 随机 选择 Hir {10,1)" ,以 H(X) =H; 应 答 , 并 将 (Xi;,H;) 加 入 HE, 

(3) 挑战 。 输出 两 个 要 挑战 的 消息 M。 和 M,， 随 机 选择 Dr {0,1)", 定 义 C* 一 
(P,.®).C* 的 解密 应 为 8H,(e(dwm,P;)) 二 BH,(D), 即 已 将 BDH 问题 的 解 D 埋 
p 

(4) 猜测 。 算 法 输出 猜测 8 E10,1)。 同 时， 从 互 几 中 随机 取 (X;,H;), 把 X; 作为 
BDH 的 解 。 

下 面 证 明 能 以 至 少 2 〈 )/gn, 的 优势 输出 Do 

设 表示 事件 : 在 模拟 中 发 出 HDH. H (DAE HS p, h 建立 H 
的 过 程 知 ,其 中 的 值 是 随机 选取 的 。 下 面 的 证 明显 示 , 如 果 H eA HCD). BM 得 不 
到 HCD), WRR 的 优势 赢得 上 述 第 (4) 步 的 猜测 。 

言 4-2 在 以 上 模拟 过 程 中 ， 的 模拟 是 完备 的 。 

证 明 : 在 以 上 模拟 中 ， 的 视图 与 其 在 真实 攻击 中 的 视图 是 同 分 布 的 。 这 是 因为 以 下 
两 点 。 

Q) 的 gn, 次 He 询问 中 的 每 一 个 都 是 用 随机 值 来 应 答 的 ,而 在 对 BasicPub 的 真 
实 攻击 中 ， 香 到 的 是 H 的 函数 值 ,由 于 假定 H: ERED OL. EBAY H 的 函 
数值 是 均匀 的 。 

(2) 由 更 的 随机 性 ,不 论 是 否 询 问 到 H.(D). BMAX 5 四 BCD) 对 来 都 是 
完全 随机 的 。 
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所 以 两 种 视图 不 可 区 分 。 

(断言 4-2 证 毕 ) 
断言 4-3 在 上 述 模拟 攻击 中 Pr[ J>2. 

证 明 与 3.1.4 节 的 断言 3-4 一 样 。 

由 断言 4-3 知 ,在 模拟 结束 后 ,D 以 至 少 2 的 概率 出 现在 HS. Ml BB 4-2 的 假 
定 ， 对 Hs 的 询问 至 少 有 gn, >0 次， 建立 的 有 至 少 有 gn, 项 ,所 以 在 HY 随机 选取 
一 项 作为 也 ,概率 至 少 为 2 ( )/gn,。 

GIH 4-2 证 毕 ) 

定理 4-1 的 证 明 如 下 。 设 存在 一 个 IND-ID-CPA 敌手 以 ( ) 的 优势 攻破 

Basicldent 方案 ， 最 多 进行 了 qe>0 次 密 钥 提取 询问 ,对 随机 论 言 机 H 至 多 qu, >0 次 
询问 。 

由 引 理 4-1, 存 在 IND-CPA 敌手 “以 最 少 ,二 〈( )/e(1 十 qs) 的 优势 成 功 攻击 
BasicPub。 由 引 理 4-2, 存 在 能 以 至 少 2 1/gn, =2 C )/e(1 十 gz)gn, 的 优势 解决 生成 
的 群 中 的 BDH 问题 。 

(定理 4-1 证 毕 ) 
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类 似 于 3. 1. 3 节 , 虽 然 BasicIdent 是 IND-ID-CPA 安全 的 ,但 不 是 IND-ID-CCA 安 
全 的 。 

4.7 节 将 介绍 ,构造 CCA 安全 的 密码 体制 通常 是 先 构造 CPA 安全 的 密码 体制 ,再 将 
其 转换 为 CCA 安全 的 。Fujisaki-Okamoto 给 出 了 一 种 在 随机 论 言 机 模型 下 由 CPA 安全 
的 密码 体制 转换 为 CCA 安全 的 密码 体制 的 方法 四 : 以 wCM,r) 表 示 用 随机 数 ~ 在 公 
pk 下 加 密 M 的 公 钥 加 密 算法 ,如 果 是 单 向 加 密 的 , 则 B= C (os Hs Co, M)), 
H (co) 四 M) 在 随机 论 言 机 模型 下 是 IND-CCA 安全 的 ,其 中 o 是 随机 产生 的 比特 串 , H;、 
Hy 是 哈 希 函数 。 

单 向 加 密 粗略 地 讲 就 是 对 一 个 给 定 的 随机 密 文 , 敌 手 无 法 获得 明文 。 单 向 加 密 是 一 
个 弱 安 全 概念 ,这 是 因为 它 没有 阻止 敌手 获得 明文 的 部 分 比特 值 。 

修改 后 的 加 密 方案 ( 称 为 Fullldent 方案 ) 如 下 。 

(1) 初始 化 。 和 Basicldent 的 Init( ) 相 同 , 此 外 还 需 选 取 两 个 哈 硕 函 数 Hy: (0,1}" X 
{0,1}">Z fF 各,:{0,1}" 一 {0,1}", 其 中 是 待 加 密 消息 的 长 度 。 

D 加 密 ( 用 接收 方 的 身份 ID 作为 公开 钥 , 其 中 ME {0.1}. 

MY 
w = HD E G?; 
o<R{0,1}"; 
r = H3(6.M); 
CT = (rP o ® H: (gp) -M@ Hy(o)). 
其 中 gp=2(Qn> Ppa) EG? o 
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(3) 密 钥 产生 。 和 Basicldent 中 的 IBEGen(ID) 相 同 。 
(4) 解密 (其 中 CT 一 (U,V,W))。 
(CT) 
WRU EGY ,返回 L; 
o=V@H,(é(dp.U)); 
M= W ® H, (0); 
r = H;(6,.M); 
wF U Æ rP GK |; 
返回 M. 
EHE 4-2 设 喻 希 函 数 H H, H: H, 是 随机 论 言 机 ,如 果 BDH 问题 在 生成 的 群 
上 是 困难 的 ,那么 Fullldent 是 IND-ID-CCA 安全 的 。 
具体 来 说 ,假设 存在 一 个 IND-ID-CCA 敌手 以 ( ) 的 优势 攻击 Fullldent 方案 ， 分 
别 做 了 至 多 qe 次 密 钥 提取 询问 ,至 多 gp 次 解密 询问 ,对 随机 论 言 机 H, H: H, 至 多 做 
T dn, ~da, dn, 次 询问 。 那 么 存在 另 一 个 敌手 EADAE ) 的 优势 解决 生成 的 群 
中 的 BDH 问题 。 其 中 
Adv!" ) > 2FOw( pe a 40 |an, 
函数 FOw, 在 定理 4-3 中 定义 。 
设 将 作用 于 BasicPub, 得 到 的 方案 为 BasicPubw 。 下 面 用 符号 P:P, 表示 问题 
P, 可 在 多 项 式 时 间 内 归 约 到 问题 P,。 为 了 证 明 BDH<=Fullldent, 根 据 归 约 的 传递 性 ， 
首先 证 明 BasicPub™ = Fullldent, 再 证 明 BasicPub = BasicPub” ,最 后 证 明 BDH = 
BasicPub, 如 图 4-4 所 示 。 其 中 BDH © BasicPub 已 由 引 理 4-2 证 明 , BasicPub 一 
BasicPub* 由 下 面 的 定理 4-3 给 出 。BasicPub™* =Fullldent 由 下 面 的 定理 4-4 给 出 。 


引 理 4-2 定理 4-3 定理 4-4 


4-4 Fullldent 方案 到 BDH 问题 的 归 约 








定理 4-3(Fujisaki-Okamoto 定理 ) BasicPub* 到 BasicPub 的 归 约 。 

假设 存在 一 个 IND-CCA 敌手 以 ( ) 的 优势 攻击 BasicPub* 方 案 ， 分 别 做 了 至 多 
gp 次 解密 询问 ,对 随机 论 言 机 Hs. H, 至 多 做 了 qu, van, 次 询问 。 那 么 存在 一 个 IND- 
CPA 敌手 至 少 以 ;( ) 的 优势 攻击 BasicPub 方案 。 其 中 : 


1 
2(qn, + an, ) 








iC ) > FOw, Ck) ,qn, :gm gpD) 
其 中 ,g 是 群 的 阶 ,n 是 消息 长 度 。 

定理 4-4 Fullldent 方案 到 BasicPub™* 的 归 约 。 

假设 存在 一 个 IND-ID-CCA 敌手 以 ( ) 的 优势 攻击 Fullldent 方案 ， 最 多 进行 


LECE JAHD 2/1] 
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ds 二 0 次 密 钥 提取 询问 和 qn > O 次 解密 询问 。 那 么 存在 一 个 IND-CCA 敌手 至 少 以 
Poe gay tea Bea BasicPub” 。 
证 明 : 利用 攻击 Fullldent 的 敌手 ,如 图 4-5 所 示 。 





BasicPuby 

















攻击 攻击 
(5) 解密 询问 C '=<b,U,, Fi, W> (5) 解密 询问 CF<U,, ,WW;> 

应 答 应 答 
挑 (6°) 挑战 M6, MI 敌 (6) 挑战 M4, M; ID* 敌 
战 手 手 
B A 

Ct=<U, V, W C¥=<b U, V, W> 
(OF Dp 























图 4-5 Fullldent 方案 到 BasicPub™ H914 44 


(1) 初始 化 。 挑 战 者 运行 BasicPub™ 的 密 钥 产生 算法 生成 公 钥 Kp = (qe Gi + Gr ,6， 
n, P, Pp» Qw: H2, H; H4) ,将 Kow 给 敌手 ,保留 秘密 钥 dp 一 sQm 。 
下 面 的 (2) 一 (8) 步 中 ， 模 拟 的 挑战 者 和 进行 IND 游戏 。 
(2) 的 初始 化 。 
将 公开 钥 Kbw= 二 (gq,Gi ,Gs ,2,n,P,Pow,Hi,H;,Hs,H,) 给 。 
为 了 承担 的 挑战 者 ,需要 构造 一 个 Hi 列表 H*, 它 的 元 素 类 型 是 四 元 组 (ID;,Q;， 
bi ,coin;)。 
G) Hi 询问 。 与 引 理 4-1 相同 。 
(4) 密 钥 提取 询问 -阶段 1。 与 引 理 4-1 相同 。 
(5) 解密 询问 -阶段 1。 设 询问 (ID;,C;) (注意 : Fullldent 密 文 ), 其 中 C;== (U,V;， 
W). te His 中 查找 与 ID; 对 应 的 四 元 组 (ID;,Q;,b;,coin;) ,然后 如 下 应 答 ， 
QD 如 果 coin;=1, 运 行 密 钥 提取 询问 ,获得 密 钥 后 做 解密 询问 应 答 。 
© 如 果 coin;=0, 则 Q:=b,Qp. 
。 求 C= WU; V: W) (注意 : BasicPub” #3). 
。 向 挑战 者 做 C: 的 解密 询问 ,将 挑战 者 的 应 答 转 发 给 。 
(6) 发 出 挑战 。 设 的 挑战 是 ID MoMo 在 Hi 查找 项 (IDi .Q; .b;. coin; ) ,使 
得 ID,=ID* 。 做 以 下 应 答 : 
O 如 果 coin; 二 1， 报错 并 退出 ( 对 BasicPube 的 攻击 失败 ) 。 
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© 如 果 coin, = 0.% Mo M, 给 自己 的 挑战 者 ,挑战 者 随机 选 <r {0,1}, WA 
BasicPub* 加 密 Ms 得 C 二 (U,V,W) 作 为 对 的 应 答 ; WA C =r UVW) 作为 对 
的 应 答 。 

证 明 与 引 理 4-1 相同 。 

(7) 密 钥 提取 询问 -阶段 2。 与 密 钥 提取 询问 -阶段 1 相同 。 

(8) 解密 询问 -阶段 2。 与 解密 询问 -阶段 1 相同 。 然 而 ,如 果 得 到 的 密 文 与 挑战 密 
文 C 二 (U,V,W) 相 同 ， 报 错 并 退出 ( 对 BasicPuby 的 攻击 失败 ) 。 

(9) 猜测 。 输出 猜测 8 ， 也 以 8 作为 自己 的 猜测 。 

断言 4-4 在 以 上 过 程 中 ,如 果 不 中 断 , 则 的 模拟 是 完备 的 。 

证 明 : 在 以 上 模拟 中 , 当 猜测 正确 时 ， 的 视图 与 其 在 真实 攻击 中 的 视图 是 同 分 布 
的 。 这 是 因为 以 下 3 点 。 

© 的 gn 次 Hi 询问 中 的 每 一 个 都 是 用 随机 值 来 应 答 的 ( 同 断 言 4-1)。 

© 对 的 密 钥 提取 询问 的 应 答 是 有 效 的 ( 同 断言 4-1)。 

@ 对 的 解密 询问 的 应 答 是 有 效 的 : 

。 如 果 coin;=1, 因 为 密 钥 提 取 询问 是 有 效 的 ， 所 做 的 解密 是 有 效 的 。 

。 如 果 coin; =0,1% di=sQ; 是 Fullldent 与 ID, 相对 应 的 秘密 钥 , 则 在 Fullldent 中 
使 用 d; 对 Ci=(Ui Vi 多 iD) 的 解密 与 在 BasicPub* 中 使 用 dw 对 Ci = (6,U;.V; W) K fi 
密 相同 ,这 是 因为 

2d ,biU;) = @(sQw+bU;) = êlsb:QmU;:) = @(sQ;.U;) = é(d; U;) 

所 以 所 转发 的 挑战 者 的 解密 是 有 效 的 。 

(断言 4-4 证 毕 ) 

下 面 考虑 在 以 上 过 程 中 不 中 断 的 概率 。 

引起 中 断 有 3 种 情况 : 

(1) 阶段 1.2 中 的 密 钥 提取 询问 ( 当 coin; =0 时 ) 。 

(2) 挑战 时 发 出 的 身份 ID" 对 应 的 (ID ,Qi,b;,coin;) 使 得 coin; 二 1。 

(3) 阶段 2 的 解密 询问 时 ， 发 出 的 密 文 与 以 前 的 挑战 密 文 相同 。 

在 情况 (3) 中 , 设 发 出 的 密 文 C;==(U;,Vi,W) 与 它 的 挑战 密 文 C* = U,V, W) 
相同 , 则 U=6Ui;,V==Vi,W 二 W;。 将 C; 转发 给 挑战 者 前 做 变换 得 C/= OU: ,Vi ,Wi)， 
得 到 的 结果 与 得 到 的 挑战 密 文 C" ==(U,V,W) 相 同 。 这 种 情况 发 生 当 上 且 仅 当 coin; 二 0。 

在 情况 (1) 下 ， 不 中 断 的 概率 为 (1 一 6)% ;在 情况 (2) 下 ， 不 中 断 的 概率 为 6; 在 情况 
(3) 下 ,不 中 断 的 概率 为 (1 一 0) 。 

所 以 整个 过 程 中 不 中 断 的 概率 为 (1 一 6)"*6(1 一 6)%m 二 (1 一 6)%twm8。 类 似 于 定 


理 3-11 的 证 明 , 当 6= 时 ,(1 一 6)set8 BIRA SAM ay 


1 
qe +qo+1 
由 断言 4-4 A. ERM h h hA Adve POAC) = Pr[p=p] 一 二 与 真实 攻 
Tr PAY LH Advi PC ) 相 等 ,至 少 为 ( )。 
的 优势 为 
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AdvSpmeca( ) 一 a. 


1 
(定理 4-4 证 毕 ) 

定理 4-2 的 证 明 如 下 。 
参见 图 4-4。 假 定 敌手 攻击 Fullldent 的 优势 为 , 则 由 定理 4-4, 存 在 另 一 攻击 

BasicPub” 的 敌手 ,其 优势 为 


! e Fq Fg) 
由 定理 4-3 ,存在 另 一 攻击 BasicPub 的 敌手 ,其 优势 为 
yay sqn, -40 J 


2( ) > FOw (1 Ck) sqn, +H, +90) = FOw (st Fo Fe 


由 引 理 4-2, 存 在 另 一 攻击 BDH 的 敌手 ,其 优势 为 
ee i ©) 
> H = FO EO 0 a, 


2 








(定理 4-2 证 毕 ) 


4.3 无 随机 论 言 机 模型 的 选 定 身份 安全 的 IBE 





本 节 介 绍 Boneh 和 Boyenc 提 出 的 两 个 无 随机 论 言 机 模型 的 选 定 身份 安全 的 IBE, 
方案 的 安全 性 分 别 基 于 判定 性 双 线 性 Diffie-Hellman (Bilinear Diffie-Hellman, BDH) 假 
设 ( 见 4.3.1 节 ) 和 判定 性 双 线 性 Diffie-Hellman RIX (Bilinear Diffie-Hellman Inversion, 
BDHD 假 设 。 


43.1 双 线 性 Diffie Hellman K i riz 


HG, ,G* 及 映射 2:G, XG. >G: 5 4.2.1 节 相 同 。 

设 /是 一 常数 ,计算 性 LBDHI 问题 定义 如 下 : 

已 知 (十 1)- 元 组 (g g gh gE (GS) Relg, g)" EG, EPG | = 
Gi 一 {1q }, 1g 是 G, 的 单位 元 。 

如 果 Pr[ (ggg seg) =e geg)* > , 称 算法 求解 计算 性 人 CBDHI 问题 
的 优势 为 。 

计算 性 CBDHI 问题 假定 : 没有 多 项 式 时 间 的 敌手 ,能 以 至 少 的 优势 解决 CBDHI 
问题 。 

对 于 判定 性 上 BDHI 问题 ,如 果 

Pet (Cg ,gr ge? peg ge? 2 (g,g)"*) = 1] 
—Pr[ (grg g ,eg T) =1]| > 

那么 称 解决 判定 性 和 BDHI 问题 的 优势 为 ,其 中 全 是 G, 中 的 随机 数 。 

判定 性 EBDHI 问题 假定 : 没有 多 项 式 时 间 的 敌手 ,至 少 能 以 优势 解决 判定 性 全 
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BDHI 问题 。 
下 面 记 
二 二 


BDHI 一 {(grg8 8 gc ,T)} 
432 基于 判定 性 BDH 假设 的 IBE 和 HBE 方 案 


假设 : 深度 为 4 的 公开 钥 ( 信 ) 是 由 Z ;中 的 元 素 组 成 的 向 量 , 记 为 俯 = (1 ,1,…， 
1,)EZs, 其 中 的 第 j 个 元 素 是 第 j 层 身 份 。 也 可 使 用 一 个 抗 碰撞 哈 希 函数 H:{0,1}* 一 
Z; 对 六 每 一 个 成 分 也 进行 运算 ,从 而 把 这 个 结构 扩展 到 {0,1)" 上 的 任意 公开 钥 。@ 被 
加 密 的 消息 是 G* 中 的 元 素 。 

HID = hy sls EZ AV QA AR Ch oT 1 FEW 1 = Ch sno 1)» 
方案 如 下 。 

(1) 初始 化 。 

生成 元 g <r Gi sa <r Zp; 
=e 
hy sha" she +r Gi sg: <r Gis 
params = (g+21+22shi+**she) msk = g33 
定义 函数 F; :Z,—> Gi Fj(ax) = gih; G = 1,2，…,p). 
(2) 密 钥 产生 (其 中 仿 = d hse DEZ GRO). 
IBEGen(msk, ID) : 


Fiss AR Zp 


dj = Gi (Fi(TO) ,gn ,gr sg ): 
(3) BI. QML AT = Ch sses Ij) EZ} V AEH di | js 一 
(do ,ddi-i)EGi,d 可 如 下 产生 : 
Delegate(c 亩 | 六 1 .ID): 
rj <r Zp; 
dip = (doF; (1))5 di, ,di g"). 
(4) 加 密 ( 用 接收 方 的 身份 访 = sD EZ GSO ERARA, H ME 
G:). 
DM): 
7. Zs; 
CT = (ê (gi 3g) * Mog’ Fi (i) se, F; Cj)"). 
HEB: zc(gi ,g?) 可 预先 计算 好 ,以 后 反复 使 用 。 而 且 E(gl,g?) 还 能 被 放 在 公开 参数 
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中 ,使 得 公开 参数 中 不 再 需要 有 gs。 
G) 解密 (其 中 dip = (do ,di,…,dj),CT=(A,B,C1,…,C;))。 


Cs 
i 
ECAA 
BHA. 5 
= 2(Bydo) 
这 是 因为 
j i 
TI KGet TE ê (Fed), 
k=1 k=1 1 











e(B,do) ê (giog) 


a ee” [I è PD 
定理 4-5 假设 在 (G ,Gs) 上 判定 性 BDH 假设 成 立 ,那么 以 上 方案 是 IND-sID-CPA 
安全 的 。 

具体 地 ,如 果 存 在 敌手 以 的 优势 攻击 上 述 方案 ,那么 就 存在 一 个 敌手 以 相同 的 优 
势 攻击 判定 性 BDH 问题 。 

TEAR: 设 GAS TOA (Cg. g gig T) KS CAMARA F apm, 此 时 工 一 
elg g) h th AT EIR AF apm 此 时 工 从 G* 中 随机 独立 选取 。 的 目标 是 区 分 哪 种 情况 
发 生 ,如 果 THe gg), Sith 1, AHO. 设置 =g g= gg =g E PY 
选 定 身份 游戏 中 与 交互 。 

(1) 初始 化 。 敌 手 输出 深度 ke 的 挑战 身份 全 “== Cy ,1 ee EZ, WA 
kl， 也 可 给 仿 * 后 面 填补 4 一 k 个 Z ;中 的 随机 元 素 , 使 得 全 “成 为 长 度 为 4 的 向 量 。 下 
面 假设 项 是 (Z; )' 上 的 向 量 。 

(2) 密 钥 产生 。 为 了 生成 系统 参数 ,首先 随机 选取 wm ,wz ,…,a<RZ, IF AEM 
h;=g t g9 ©G2G=1.2. 0). 把 公开 参数 params 一 (g,gi,h,…,h) 给 。 隐 含 
W. EBH gi =gh EG ,但 并 不 知道 主 密 钥 的 值 。 

类 似 地 定义 函数 F; :Z,>G «Fj (2) =gih;=g T gi G=1,2, Oe 

(3) 阶段 1。 敌 手 向 发 出 秘密 钥 产 生 询问 , 设 总 计 g, 次 。 考 虑 关于 身份 访 = (1， 
lss ID ECZ} "Ce<2) 的 秘密 钥 询问 ,唯一 的 限制 是 访 不 为 访 ' 的 前 级 。 设 jE (1, 
2,…,z} 是 使 得 厂 径 六 的 最 小 下 标 ,为 应 答 他 的 秘密 钥 询 问 ， 首 先 构造 身份 (了 1,1，…， 
1) 对 应 的 秘密 钥 , 然 后 以 此 通过 委派 算法 得 到 身份 人 二 (了 ,… ,1 ,…,1,) 的 秘密 钥 。 

首先 ， 选 取 随 机 数 r wre eet ,rj 一 kZs ,并 且 令 


do = iar Thera." dy = g^ s1dja = grid; = grg" 
如 此 构造 的 d 甸 二 (do ody ,…:di) 是 关于 身份 CT «De ,…, 厂 ) 的 有 效 的 随机 秘密 钥 ,为 
了 证 明 这 个 结论 , 令 方 一 方 一 产生 EZ ,那么 


a a 


a — ott 1-1" pee ie $ 
gyi (FD = ght (ey HI = 68 GP BT yg = et PDD 
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由 此 得 出 上 面 定义 的 秘密 钥 din = (do ,di od THE 
di = eea )(F U7 ody = Badia = g dj = g7 
v=1 


指数 ry ,… rj oF 在 Z， 中 均匀 独立 分 布 ,与 系统 中 密 钥 产 生 算法 生成 的 秘密 

钥 相 匹配 ,因此 dis = (do ,di,… ,dj) 是 关于 (I ,Ts,…,L) 的 一 个 有 效 的 秘密 钥 。 

SRI» RHE ,1 ,… ,1) 对 应 的 秘密 钥 (d。 ,di oe ed) ,反复 使 用 wx 一 ) 次 委派 算法 ， 
可 得 身份 (了,… ,Tj ,…,1,) 对 应 的 秘密 钥 , 作 为 对 的 应 答 。 

强调 : 如 果 试图 询问 功 * 的 任何 前 级 对 应 的 秘密 钥 , 这 个 过 程 就 会 失败 。 因 此 ， 能 
产生 除了 项 的 前 级 之 外 的 所 有 身份 的 秘密 钥 。 

(4) 挑战 。 当 E PA MM: EG. 
选取 随机 比特 Br {0,1} ,计算 密 文 C* = (Me To g's gts gt). BAIA KY i， 

“= gh hi RIEA 
”三 

如 果 T=e(g,g)* 一 eCg1,gs)“, 则 C' SEATED” = CF ,12 ,…,12 ) 下 明文 Mi 对 
应 的 有 效 密 文 。 反 之 ,如 果 工 是 从 Gs 中 独立 随机 选取 的 ,那么 在 敌手 看 来 C 独立 于 po 

(5) 阶段 2。 继续 发 出 如 阶段 1 中 的 询问 ， 以 阶段 1 中 的 方式 进行 回应 

(6) 猜测 。 输出 猜测 8B'E {0,1}。 按照 如 下 规则 判断 自己 的 游戏 输出 : 如 果 有 一 
B fit 1, 表 示 T=z(g,g)“ ;否则 输出 0, 表示 Te(g,g)*。 

当 输入 的 5 元 组 取 自 ppun 时 ,T=e(g,g)* ,模拟 过 程 中 敌手 的 视图 与 其 在 真实 攻 


击 的 视图 相同 , 于 是 Prig'=p -4> 。 反之 , 当 输入 的 5 元 组 取 自 am 时 , 工 从 





Gs 中 随机 选取 ,那么 Pr[B” =p1=5. 因此 ,对 于 随机 的 a.6,cE2Z,,TEGs 有 


| 本 


i ae 
>|(3+ ) z|- 
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下 面 基 于 判定 性 人 BDHI 假定 构造 IND-sID-CPA 安全 的 IBE 方 案 和 HIBE 方案 ,其 
中 的 解密 算法 比 4. 3. 2 节 的 解密 算法 高 效 , 加 密 效率 和 密 文 长 度 与 4. 3. 2 节 的 相同 。 

假设 : 公开 钥 ID BZ; 中 的 元 素 ; @ 被 加 密 的 消息 是 G* 中 的 元 素 。 

(1) 初始 化 。 


(定理 4-5 证 毕 ) 


ERT ger Gr zy rZ; s 
X=g,Y=g; 
params = (g,X,Y),msk = (x,y). 
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(2) 密 钥 产生 (其 中 IDEZ; ) 。 
IBEGen(msk, ID); 
rt, Zo 
K= BUGDtztr) , 
输出 dm = (rK). 
注意 : ID 十 x 十 ry 二 0 的 概率 忽略 不 计 。 
(3) 加 密 ( 用 接收 方 的 身份 IDEZ; 作为 公开 钥 , 其 中 MEG). 
mM): 
sg Zs 
CT = (gP X Ye (gg)! © M). 
注意 : C(g.g) TMAH HE AGRE, 
(4) 解密 (其 中 diy = (rs K) .CT=(A,B.C)). 
dp (CT): 
; Č 
BABKI 
这 是 因为 
€ C E M 
é(AB’,K) elg Ht» pg Pt) ê (g.g) 

与 4.3.2 节 的 方案 比较 ,本 方案 中 解密 算法 仅 需 一 个 配对 运算 ,加密 效 率 和 密 文 长 度 
与 4.3.2 节 的 相同 。 

定理 4-6 假设 在 (G, ,G,) 上 判定 性 BDHI 假设 成 立 ,那么 以 上 方案 是 IND-sID-CPA 
安全 的 。 

具体 地 ,如 果 存 在 敌手 以 的 优势 攻击 上 述 方案 ,那么 就 存在 一 个 敌手 以 相同 的 优 
势 攻击 判定 性 BDHI 问题 。 

证 明 : 设 BAUDA g gh g TEGO XG CTARA som， 
此 时 T=e( e.g) sth AERA aom, 此 时 工 从 G* 中 随机 独立 选取 。 的 目标 是 区 分 哪 
种 情况 发 生 ,如果 T=el(g,g)*， 输 出 1, 否则 输出 0。 在 下 面 的 选 定 身份 游戏 中 与 
交互 。 

(1) 准备 阶段 按照 下 面 5 步 , 建 立 L 一 1 个 形 如 (rw AO A A EG FY 
生成 元 ,wi ,rz ，,… wy FEZ fF 的 随机 数 。 


D 随机 选取 w, ,wz sti RZ, ,构造 多 项 式 f(x) 一 TT etw , 展开 得 f(x) 一 











Dari, 其 中 常数 项 co A. 


tx} Ld 
© HŽ h= Il (gti = gf u = Il (gf) = gw Eush. 
i=0 i=1 


@ 检查 是 否 AEG; 。 因 为 如 果 h 二 1, 则 意味 着 存在 某 个 j, 使 得 ww 二 一 a, 因 而 能 
很 容易 地 攻破 判定 性 BDHI 假设 。 所 以 下 面 假定 wi 关 一 a(j 二 1,2,…,l 一 1)。 
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a2 
@ 对 每 一 ii 一 1,2,…,p 一 1) ,计算 file) = f(z)/(z 十 wi) = dizi RAV? = 
a 


t2 
gi 一 ipl (gr 4%, 
i=0 
el t 


© 计算 T=T .Tu, 其 中 To = [[ [| è ce" og? mm。 WR Teg), 


Ty = 06 gf" gf =eh hy? 。 而 如 果 工 是 随机 均匀 的 , 则 T; 也 是 随机 均匀 的 。 

(2) 初始 化 。 输出 它 意 欲 攻 击 的 身份 ID"EZ; 。 按照 下 面 3 步 产生 系统 参数 ， 

O 随机 选取 c,p<RZ， ,满足 ap 一 ID 。 

© 计算 X 一 wo —ab hetb) ,Y=u h‘. 

© 公开 params=(h, X,Y), 在 看 来 ,XY 与 ID* 是 无 关 的 。 

MBAS he MT x=—alatb), y=a, fi X=h*.Y=h?, 不 知道 zx、y 的 值 ,但 
知道 a2+ay=—ab=—ID*. 

(3) 阶段 1。 EH g< KERHA EW, BS i UA AY} ID, AID", Mn 
下 应 答 ， 

D Be Cw; AV? FE TENE He BT BPE YS i PTE h Sh 

@ 构造 方程 (r 一 a) (a 十 w;) 二 ID; 十 x 十 ry 二 1D; 一 a(a 十 5b) 十 ra, 由 此 可 解 出 r==a 十 
Daez, 

D rh ERF ID, 的 有 效 秘密 钥 , 这 是 因为 : 

. inea = (hta) VD hadt — AUD Ht | 

。 对 于 满足 ID +2+ry40 和 réa 的 所 有 r, 在 Z, 上 是 均匀 分 布 的 。 这 是 因为 w 

在 Z,\{0, 一 a} 上 是 均匀 分 布 的 且 独 立 于 的 视图 。 

而 对 于 rsa. ERE AYO) PEN ID; 的 秘密 钥 , 因 此 对 于 满足 ID; Hery 
天 0 的 所 有 rEZ, 上 是 均匀 分 布 的 。 

需要 指出 的 是 ,如 果 D SID ,上 述 过 程 失败 。 因 为 r=a AID; +2+ry=0. 

(4) 挑战 。 输出 两 个 等 长 明文 Mo, Mi EG 选取 随机 比特 8<-k {0,1) 和 
ver Z; RME C =h hT * My). EM s=v/a W4 TH eh ht A 


he hao) hte w/e) hD" We) nim” 。 xs 





























k =Y" =Y" 
T} = ê (h,h)” = è (h,h) 
因此 C* 是 Ms 在 ID* 下 的 有 效 密 文 。 
(5) 阶段 2。 继续 发 出 如 阶段 1 中 的 询问 ， 以 阶段 1 中 的 方式 进行 回应 。 
(6) 猜测 。 输出 猜测 8'E (0.1), WER’ =p. Hh 1. za THe g ;否则 输 
出 0, 表 示人 是 G* 上 随机 均匀 的 。 


当 WMA CE ete oe TIE (GT) XGA aom( 即 了 一 2Cg,g)) 时 ， 
Ty=2h A)! HE 来 说 ,一 定 有 | Pr[B' =p- > 。 反 之 , 当 的 输入 取 自 som CED T 
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是 G* 上 随机 均匀 的 ?时 ,那么 Prig’ =6] =}. 因此 ,对 于 GY 中 均匀 分 布 的 g,Zj 中 均匀 
分 布 的 < ,G* 中 均匀 分 布 的 工 


|Pr[ (ggg og” se (gg) 一 1] 一 Pr[ (ggg? ,sg  ,T)=1]| 
1 
> (++ }al> 


GEM 4-6 证 毕 ) 


4.4 无 随机 论 言 机 模型 下 的 基于 身份 的 密码 体制 





本 节 介 绍 Waters 提出 的 无 随机 论 言 机 模型 下 完全 安全 的 IBE 方案 中 ,其 安全 性 基 
于 判定 性 的 双 线性 Diffie-Hellman(DBDH) 假 设 。 


441 判定 性 双 线 性 Diffie-Hellman 假设 

设 群 G .G; 及 映射 2:G XG, >G 45 4. 2. 1 节 相 同 ,挑战 者 随机 选取 ec,b,c,z<RZ，, 生 
成 两 个 五 元 组 T =(g,A=g*, B=g'.C=g°.Z=é(g.g)*) Ml T, =(g,A=g,B=g, 
C=g' ,Z=é(g.g)™). 

随机 选取 yer (0.1) ;车 二 0, 输 出 T ;否则 输出 Tio 

敌手 根据 得 到 的 TCT 或 者 TOH pC (0,1) ,作为 对 4 的 猜测 。 的 优势 定义 为 
Pele =p] |> 。 类似 于 2.1.2 节 的 式 (2.2)， 的 优势 也 可 定义 为 








| PrL (g.g sg’ 8° 6 (g.g)™") =1J—PrL (gg ,gg ê (g.g)*) = 1) |22 
其 中 ,概率 来 源 于 a、b、c、xz 的 随机 选取 和 敌手 对 随机 比特 的 使 用 。 为 方便 表述 , 记 
pH 一 ((g,g sgg ê (g5g¢)™)} 
BDH= {(g.g*+g° 8 ê (gg8)°)} 
DBDH 假设 : 没有 多 项 式 时 间 的 敌手 ,至 少 能 以 优势 解决 DBDH 问题 。 
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方案 的 具体 构造 如 下 ,其 中 身份 表示 为 长 度 为 n 的 字符 串 , 也 可 由 抗 碰撞 的 哈 希 函数 
H:{0,1)* 一 {0,1)" 将 任意 长 的 身份 信息 映射 为 n 长 比特 串 , 参 数 与 p 无 关 。 
(1) 初始 化 。 
Init( ): 
a~<RZ, +g ROG; 
ra 
&2 RQ; 
ul RG, su; <— GiGi = 112 nn) tt = (uj); 


params =< g,gı»g2»u ‚Ūū >.msk = gs. 
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其 中 msk 一 8 HERH ú= (Cu) on KHR. 
(2) 密 钥 生成 。 令 DD 为 n 比特 长 的 身份 信息 ,ID; 表示 身份 ID 中 的 第 i 位 ,集合 CS 
人 ,2,…,n) 表 示 ID; 二 1 的 所 有 下 标 i 组 成 的 集合 。ID 的 秘密 钥 的 生成 过 程 如 下 : 
IBEGen( ): 
ry Zr 
dp = (msk + (u He) +e ). 
(3) 加 密 ( 用 身份 ID 对 消息 ME G: 进行 加 密 ) 。 
wM); 
ip Z, 


CT = (zsgo)M,8 (u [Tu:)'). 
iE 


(4) 解密 (其 中 CT= (Ci ,C;,C;))。 





date: 
返回 C êO, 
èldi Ca) 
这 是 因为 
本 efg (u He) 
" Kdi) k 


afe (e eye) 
e(g» (u J)”) 
ê Ceesg e ( (w Me)” +8) 


注 : OF MERAY u [Lu 可 看 作 是 由 身份 构造 的 哈 希 函数 ,该 函数 的 内 部 结构 
se 





= €(g1+g2)'M 





是 已 知 的 ,因此 方案 不 使 用 随机 论 言 机 ; QF XP oF —Me(g,.g.)'M 没有 身份 信息 ， 
方便 模块 化 构造 。 

方案 的 安全 性 可 归 约 到 DBDH 假设 。 

定理 4-7 设 是 IND-ID-CPA 游戏 中 ( 见 4.1.1 节 ) 以 优势 ( ) 攻 击 上 述 方案 的 敌 


手 ,那么 存在 一 个 敌手 至 少 能 以 优势 EC 解决 DBDH 假设 ,其 中 是 身份 长度 。 


证 明 : 设 敌 手 的 输入 为 五 元 组 T=(g.A=g,B=g',C=g Z), HUSK 进 
行 下 述 游 戏 ,判断 本 是 DBDH 五 元 组 还 是 随机 五 元 组 。 

(1) 初始 化 。 由 完成 ,首先 设置 一 个 整数 m E HAT AA m = 4 p) ,随机 选取 参数 
k<-g[L0,n]( 用 户 身份 的 长 度 为 n) ;选取 随机 值 2’<—pL0.m—1) Al n KAY a = (a) ,其 
中 向 量 区 中 的 元 素 x; 均 从 区 间 [0,m 一 1] 中 随机 选取 ,用 X" 表示 参数 对 (x ,区 ) ;继续 随 
机 选取 y rZ ,和 nn 长 的 向 量 了 二 (y;) ,其 中 y; 均 从 Zs 中 随机 选取 。 初 始 化 完成 后 ， 秘 
密 保存 上 述 参数 。 
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HE: 在 构建 参数 系统 时 ,未 直接 选取 参数 u 和 向 量 贡 ,而 是 构造 了 参数 r <kR[0， 
m—1].n 长 的 向 量 王 二 (Xi),y RZ, fon 长 的 向 量 了 一 (yi;) ,通过 上 述 参 数 的 计算 生成 参 
á upati, 

对 于 身份 信息 ID, 令 集合 和 {1,2,…,n}) 表 示 ID;=1 的 所 有 下 标 i 组 成 的 集合 。 定 
义 下 述 3 个 关于 身份 的 函数 : 

FAD) = (p— mk) +z + Dz 
i€ 


JAD) =y + Dy 
i€ 
0， Ha + dla; =0modm 
i€ 


1, 其 他 

2 =A. g: =B, 0h u = gg "+ gY A u: = gi g" G=1,2, n) ANR RAR 
params= (g, gi gzs ù= (u;)), MFMF 而 言 ， 公 开 的 系统 参数 与 真实 系统 中 的 参 
数 是 同 分 布 的 。 

(2) 阶段 1。 进行 多 项 式 次 的 秘密 钥 提 取 询 问 。 收 到 关于 身份 ID 的 秘密 钥 提 取 
询问 时 ， 如 下 操作 : 

O 若 K(GD)=0, 则 中 断 ( 以 Abort 表示 这 一 事件 ) ,并 随机 选取 pe! <p (0.1) HE BE 
战 值 wx 的 猜测 。 

© 和 否则， 随机 选取 r<—eZ, ,构造 身份 ID 对 应 的 秘密 钥 dw 二 (di ,ds ) 。 


dw = (di sds) = (gi (u Te) aD a") 


K (ID) = 


对 于 而 言 ,身份 ID 的 合法 秘密 钥 应 为 do = (gs (w Ee) g). 其 中 7 为 随机 数 ,g5 
i€ 
为 主 密 铀 。 但 由 于 并 未 掌握 主 密 钥 g ,因此 需 用 已 知 的 参数 通过 计算 生成 未 知 的 路 。 


已 知 
w [lu= m g epg = ap gi ge * ge” 
i€ i€ 
= gpm Da grb (4,1) 
All 
yet aL = (are Se, 
œ He) ( Mey ( Tyre 
4 e(x+ Do, ) 
= gi (w [[ u) gran 
i€ kad 
Dy 
= gi (w I) res (4.2) 


Heh p—mk +2’ + Dya: A 0(KUD) #0, Bl 2’ + >), #0 mod m). 
i€ i€ 


由 式 (4.2) 可 知 : 
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yt Dy; 


g: ( u’ ll u; ) 三 greys = ( if’ II te ) aS = 
则 有 
En 
dı = gr rE 二 (x Tl j s a = gi (x Jles ) 
i€ i€ 


ead 
dy = g PES (u [Iie EEE 是 随机 数 为 "时 身份 ID 对 应 的 秘密 钥 的 第 


i€ 


一 部 分 ,其 中 十 一 一 一 < 一 < 和 = 一 是 变量 ,其 他 均 可 由 已 知 参 数 进行 计算 ,因此 , 令 
p—mk +2 + Sa: 


r Q 
bp—mk +r + Dx” 
i€ 
由 秘密 钥 的 标准 形式 可 知 ,与 d 对 应 的 do 为 de =g" 。 


v+ 


amt a , Wd, = op z 7 
由 于 ~ 一 EIDE ldi =g? i (u Hey 
i€ 











因为 





g= g gE, 一 gg Pr 
则 有 
d= gi Te 
综 上 所 述 ,身份 ID 对 应 的 秘密 钥 为 


yx 
dn = tdi, = (s RRE z (u Hu y gr =g) 





其 中 ,对 于 确定 的 身份 ID， L 是 一 个 固定 值 ,随机 选取 参数 rk Z, ,就 
p—mk+x + Sa; 
i€ 


意味 着 随机 选取 了 参数 r rZ, o 
为 简化 表达 式 , 令 FAD) = (p— mk) +2" + dn AJ ID) = y 十 >)y,, WA 
i€ 


dw = (di sds) = (B® (w Tre)’ sori) 
i€ 


当 且 仅 当 FUD) 40 mod 尹 时 ， 能 够 进行 上 述 计算 。 因 为 KADA 意味 着 FAD) A 
0 mod p, 因 此 以 KID) 40 作为 进行 上 述 计算 的 充分 条 件 。 
$: W KAD) #0, T z 十 之 = #0 mod m, BF a’ + 之 = A k'm(k 


2,°% ,1m), EX ASAE A FID) 40 mod p. 
秘密 钥 提 取 询 问 过 程 中 ， 对 满足 条 件 KID) =0 的 询问 将 中 断 并 返回 随机 猜测 六 。 
秘密 钥 提 取 询 问 中 至 多 存在 mm TO ID; 使 得 K (ID;) 二 0, 将 这 些 身份 组 成 的 集合 称 为 
拒绝 应 答 集合 
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需要 思考 的 问题 是 ， 为 什么 不 只 拒绝 挑战 身份 的 秘密 钥 提 取 询 问 ,而 是 拒绝 多 个 身 
份 的 秘密 钥 提 取 询问 ? 
若 此 处 不 定义 函数 KAD) =0 作为 判定 条 件 ,将 判定 条 件 改 为 : Ha’ + >) zi = km， 


i€ 
则 中 断 , 并 随机 选取 ye{0,1} 作 为 挑战 值 pe 的 猜测 。 若 使 用 上 述 条 件 作 为 判定 条 件 , 则 
在 第 (2) 步 的 秘密 钥 模 拟 过 程 中 至 多 有 m 一 1 个 身份 ID;€ (DE x + Daz, = 


i€ 
iE wy, 


rm BPO <r<n), ALEXA p — mk 十 二 十 Se, 一线 (其 中 上 是 整数 ), 则 有 


i€ 
1 D 
, ny P á 
I] 一 ohmktr’ yy [I zi oy = opmktrt Dr gt Dy; 
u u= 82 8 828" = g: EE 2 
i€ i€ 


= (+ = (+09; 
= gh g” Dr = fad È» 


此 时 ,对 于 身份 IDiE — (D° } 的 秘密 钥 提 取 询 问 , 有 w |] wu = gE, 消除 了 重 
要 参数 g, ,导致 无 法 完成 秘密 钥 模 拟 时 8 的 计算 ,因此 在 第 (1) 步 中 必须 定义 函数 
KAD) =0 作为 判定 条 件 。 

(3) 挑战 。 敌 手 向 提交 两 个 等 长 的 消息 Mu ,Mi E Gs, 和 一 个 挑战 身份 ID" ， 进 行 
下 述 操 作 : 

DO Hx 十 Dd) zi 了 km， 中 断 , 并 随机 选取 yi<-s10,1) 作 为 挑战 值 w 的 猜测 。 


i€ p* 


HE. 选择 的 挑战 身份 只 有 一 个 , 即 满足 条 件 z 十 》) zi 二 km (其 中 上 是 建立 系统 


i€ p* 


时 选择 的 固定 参数 ) 的 身份 ID" ; 选择 了 一 个 挑战 身份 ID" ,该 身份 属于 拒绝 身份 集合 
D'E a 
© 否则 xz 十 >) x; = km, B FAD)=0 mod p， 随 机 选取 Be (0.1) ,构造 消息 My 


i€ ID* 
在 身份 D 作用 下 的 挑战 密 文 C" =(Z e MCC), uA 
Ct = (Z .MoC,C = (ê (grg) © Mase» (u [[u)’) 
若 的 输入 是 DBDH 元 组 , 即 Z=é( e.g) it, ERA m A R BA SCP tc; 
密 文 的 第 三 部 分 为 
(«e= (gh et Dg Day 
= gmt B D get En) 
= g OEN) = goa" — w 
所 以 挑战 密 文 为 C* = (êlg g)" < MaC), 
注 : 由 于 无 法 完成 SOME) (其 中 gs 一 B 一 g*， 无 法 获知 g*) 的 计算 , 若 
想 要 完成 挑战 密 文 的 模拟 , 则 需 消除 SOM TD) 对 密 文 的 影响 , 只 有 使 
一 1 成 立 , 即 p 一 mk 十 zx 十 >) r= p, EP g= AB p—me + 


i€ pt 
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at XY =p. MA a! + DD zx; = km. 
i€ pe 


i€ pt 
为 实现 在 挑战 阶段 对 挑战 密 文 的 模拟 ,前 期 参数 设计 时 令 w = gt g” Alu = 
gig (i 二 1,2,…,n); 对 应 的 函数 定义 为 F(ID) = (p 一 mk) 十 zx’ 十 X) z; AJAD) = 
ie 


y +>) yi。 因此 在 定义 函数 F(ID) 时 ,已 选 定 了 挑战 阶段 的 挑战 身份 D", DEAR 
i€ 
ID* 满足 关系 x 十 D Xi = km, 


i€ p* 


车 的 输入 是 非 DBDH 元 组 , 即 ZE G; 时 ,挑战 密 文 将 不 包含 选择 的 随机 参数 8 的 
任何 信息 。 

(4) 阶段 2。 重复 阶段 1 的 方法 。 

(5) 猜测 。 敌手 输出 对 8 的 猜测 8 0,1). 

若 未 中 断 , 当 Bp'==B 时 ， 输 出 猜测 y= 二 1; 否 则 ， 输 出 猜测 p’=0. 

敌手 获胜 的 概率 与 中 断 的 概率 是 相关 联 的 ,秘密 钥 提取 询问 会 导致 中 断 ,两 个 不 
同 的 集合 (阶段 1 中 的 秘密 钥 询 问 集合 和 阶段 2 中 的 秘密 钥 询 问 集合 ) 共 有 g 次 秘密 钥 提 
取 询 问 会 导致 中 断 。 

令 ID= {IDi ,ID,…,ID,} 表 示 阶 段 1 和 阶段 2 秘密 钥 提取 询问 过 程 的 所 有 身份 集 
合 ; 令 ID? 表示 挑战 身份 , 则 集合 “ 丑 {1,2,…,n) 表 示 ID? =1 的 所 有 下 标 i 组 成 的 集 
合 ; 令 X' 表 示 模 拟 值 x ,x ,… ,zx,。 定 义 函 数 rCX ,ID' ,ID ): 

网 0， 若 ( 门 -,KGD) =1)A (2 + Xa: = km) 
r(X',ID' ,ID* ) = ie* 
1， 其 他 

若 秘密 钥 提取 询问 和 挑战 询问 未 导致 中 断 , 则 有 r(X“ ID, ID" ) = 03 HEM 7 一 
Pr[r(CX“ ,ID' ,ID ) 王 0], 则 7 表示 在 游戏 中 不 中 断 的 概率 ;选取 随机 的 模拟 值 X’ ,通过 
EOX ID ID ) 实 际 计算 的 不 中 断 的 概率 值 为 o 令 (由 下 文 计算 可 知 4 一 二 3 ) 为 
À 





对 于 任意 的 询问 集合 不 中 断 概率 的 下 界 。 若 了 三 ). 则 中 断 的 概率 为 了 一 
7 


,不 中 断 的 概 


ore 

对 上 述 游戏 进行 分 析 是 困难 的 ,因为 在 所 有 询问 被 完全 执行 之 前 ， 可 能 就 已 经 中 
断 ,进而 使 得 整个 游戏 结束 ,导致 概 率 分 析 是 困难 的 。 

下 面 是 第 二 个 游戏 , 它 比 第 一 个 游戏 容易 进行 输出 分 布 的 分 析 。 

(1) 初始 化 。 选取 主 密 钥 gs , 按 第 一 个 游戏 的 方法 产生 相应 的 参数 X = Ce") 
了 ,Ww 和 区 ,将 公开 参数 发 送 给 敌手 。 

(2) 阶段 1。 由 于 掌握 主 密 钥 ,因此 能 够 应 答 敌 手 关于 相关 身份 的 秘密 钥 提 取 
询问 。 

(3) 挑战 。 收 到 敌手 提交 的 挑战 消息 My M 和 挑战 身份 ID* 后 ,选取 两 个 随机 数 
Hp,pe gf0,1); 若 ww 一 0, 则 加 密 随 机 消息 生成 挑战 密 文 ;否则 py 二 1, 加 密 消息 Ms 生成 挑战 
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密 文 。 
(4) 阶段 2。 与 阶段 1 相同 。 
(5) 猜测 。 提交 一 个 随机 数 8 一 {0,1} 作 为 对 有 8 的 猜测 。 根据 的 秘密 钥 提 取 询 
fa] ID’ = (1D, ID: ,…,ID,) 和 挑战 询问 ID” ,计算 函数 t(X* ,ID' ,ID ), 若 rCX' ID’, 
ID* ) 王 1， 中 断 , 并 输出 wx 的 一 个 随机 猜测 六 。 
断言 4-5 ”概率 Pr[y 二 yj 在 两 个 游戏 中 是 完全 相同 的 。 
证 明 : 第 二 个 游戏 中 ， 仅 当 z(X* ,ID',ID* )==1 时 中 断 并 输出 一 个 随机 猜测 ye’ 
个 条 件 用 于 判断 在 第 一 个 游戏 中 是 否 存在 中 断 ; 如 果 存 在 , 则 在 第 二 个 游戏 中 同样 中 
断 , 并 输出 一 个 随机 猜测 。 在 两 个 游戏 中 所 有 的 公开 参数 、 秘 密 钥 提取 询问 和 挑战 密 文 都 
具有 相同 的 分 布 ,并 且 中 断 的 情况 是 等 价 的 ,因此 两 个 游戏 的 输出 分 布 是 相同 的 , 即 概率 
Pr[y 二 yj] 是 完全 相同 的 。 
(断言 4-5 证 毕 ) 
ae 1 
断言 4-6 Bi WB HIER BDH A= 


证 明 : 假设 进行 最 大 次 数 的 秘密 钥 提 取 询 问 , 即 针 对 不 同 的 身份 ID! = (ID, ,ID; ,…， 
ID, } HEAT q 次 秘密 钥 提 取 询 问 。 对 于 ID, ,1D,… ,1D, 和 挑战 身份 ID" ， 不 中 断 的 概率 可 
表示 为 


Pr[Abort] = Pr[( (NKOD) =1)A (z+ X ai = km)] 
ie " 
它 的 下 界 求解 过 程 如 下 : 
Pr[(N i, KAD) =1)A (2° + Sai = km)] 


i€ 


=(1—Pr[ UL, KOD) = 0])Prf2’+ D x = km | Ni, KAD = 1] 
ie * 


> 人 1 -a)r + Ds = km | NL, KAD» = 1] 





= 1 一 各 jPr[Kap = 0| N} KaD = 1] 








n+1 
azi 4) PrLK(D* ) = 0] a = Pr 
1 Pr[ NKD) =1 | KAD) =0 
nt m/Pr[ (NKAD) = 1] IN 
ee ST 1-2) pr N KAD» =1| KAD") = 0] 








soap! > #)(-Pr[ UL, Kab) = 1| KAD) = 0]) 
a 


(1— U2, PrCKD,) = 1 | KD") = 01) 


ie ED) m ) 
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对 于 任意 的 秘密 钥 询 问 身份 ID; ,由 于 函数 K(ID) 中 对 应 的 参数 k(kRE[1,m]) 是 固 
定 的 ,因此 有 PrLK(ID;,) 一 0] 一 过。 对 于 任意 的 秘密 钥 询 问 身份 ID,E ID! 和 挑战 身份 











ID* ,由 于 zx” +æ = 0 mod m Ñ z’ + Dia = 0 mod m 中 至 少 有 一 个 随机 值 x; 是 不 
相同 的 ,因此 KD;)=0 M KAD* ) 一 0 是 相互 独立 的 。 








当 加 一 4g 时 ,概率 PrCAort] 一 GF (1 一 2 二 取得 最 小 值 B17z' BD 
-i 
~ 81g? 
(断言 4-6 证 毕 ) 
断言 4-7 车 存在 敌手 能 以 优势 攻破 上 述 加 密 方案 , 则 存在 敌手 至 少 能 以 优势 
Bart pg DBDH 假设 。 


证 明 : 根据 输入 四 元 组 的 种 类 进行 分 类 讨论 。 
(1) 的 输入 是 随机 四 元 组 T=(g,A 二 g*,B 二 g*,C 王 g',ZE Gs)。 此 时 要 么 中 断 


且 输 入 随机 猜测 yx , 则 Prip =u] =A; EA KAF 输出 正确 的 猜测 pnt, fih e 5l, 


由 于 选取 的 随机 比特 8 对 是 完全 隐藏 的 ,因此 Pr[y =p] = 所 以 有 |Pr[ (TE 


工 
2° 
pou) =1J=—> 
(2) 的 输入 是 DBDH 元 组 T=(g¢,A=g*.B=g .C=g°.Z=ée(g.g)™) I 在 第 
二 个 游戏 中 的 视图 与 真实 游戏 是 相同 的 。 
Prl (TE wow) = 1] 
=Pily = 1] 
一 Pr[w' = 1 | Abort]Pr[ Abort] + Pry’ = 1 | Abort ]Pr[ Abort] 


已 知 Pr[y =1 |Abort] 一 去 , 则 有 








Prl (TE won) = 1]= Pri = 1) 
= $a — Pr[ Abort ]) 十 Pr[w = 1 | Abort ]Pr[ Abort] 
在 第 二 个 游戏 中 ,如 果 ANE HP BEY BBA. A x = 15 p AB IY. 
输出 猜测 e 二 0。 所 以 
Pr[Abort]= Pr[Abort | x’ = 1]Pr[w = 1] + Pr[Abort | »’ = 0JPr[ly = 0] 
= Pr[Abort | 8’ = 由 Pr[8' = 8] + PrLAbort | 8’ # BJPrLB’ # p] 





已 知 





Pr[w' = 1 | Abort]JPr[Abort]= Pr[Abort | w = 1JPr[y = 1] 
= PrLAbort | 8’ = BJPr[B’ = fA] 
因此 ,可 知 
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Prl (TE wx) = 1) 


=+ sie + (Pr Abort | 8’ = PER = 6]—PrlAbort | p’ # BIPER + 8D 


由 假设 ,敌手 攻破 上 述 IBE 机 制 的 优势 为 ,有 Pr[B' 一 站 一 于 十 和 Pr[B' 天 站 一 


去 一 ,上 式 可 变形 为 


PrL (TE wx) = 1] 
=$+4(($+ )peCAbon |’ = @)—(4— )PsCAbor | p’ #81) 


由 下 面 的 推论 可 知 
(+ + )PrCAbort ia =A (+- )PrLAbort 18 #el>Ha 
则 上 式 可 变形 为 
Prl (TE wx) =1]= 42a 


综 上 所 述 ， 解 决 DBDH 假设 的 优势 为 
Te WE wn) =P (FE m Za 








> 64(n 十 1)9 
(断言 4-7 证 毕 ) 
推论 ($+ \PsCAbort |’ =p- (4 \PrCAbort|a’#e1>3a : 


证 明 : 4 w=Pr[r(X ,ID' ,ID )=0], 则 7 表示 在 游戏 中 模拟 器 未 中 断 的 概率 ,其 中 
ID = (ID, ,ID, ,…,ID,} 表 示 阶 段 1 和 阶段 2 秘密 钥 提 取 询问 过 程 的 所 有 身份 集合 ,ID” 
表示 挑战 身份 ,X' 表 示 模 拟 值 ,zx ，… ,x 。 


为 求解 (去 二 JPrCsEerle= 有 四 一 (二 )PrCAbort p'e , 即 求解 该 表达 





式 的 下 界 , 则 首先 求解 [ 寺 +]PrLABorilp' 一周 的 下 界 ,其 次 求解 二 一 )prAbort|a’A 
et EI 
CD 求解 [去 + |PeAbort| =e FF. 


计算 站 ,由 切 诺 夫 界 可 知 Pr[7>7(1+#)] 2 gy WE 





Pr[Abort | 8” = A> (1-25) 


($+ )PoCAbort |p’ 一 月 >a(4+4 ) 
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(2) 求解 — )PoLABort|p’ p14 JP. 
计算 了 ,由 切 诺 夫 界 可 知 Pr[7<7(1-#)] = y WA 


Pr[Abort | 8 # AIKA y TERE a 











<A 8 +a(l t 


Co 
> 
AN 
a 
+ 
œl 
SS 


一 步 有 


ke 


(4- praon al) 


2 
综 上 所 述 ,有 [二 十 JPEAparle'= 由 一 (二 )PeLAbort|p’Ap]>32 成 立 。 
(定理 4-5 证 毕 ) 


45 密 文 长 度 固定 的 分 层次 IBE 





Dan Boneh, Eu-Jin Goh, Xavier Boyen 给 出 了 一 个 密 文 长 度 和 解密 代价 均 与 分 层 深 
度 Z 无 关 的 HIBE RHE) ,其 中 密 文 由 3 个 群 元 素 组 成 ,解密 运算 仅 需 两 次 双 线 性 配对 运 
算 ,秘密 钥 包 含 上 个 群 元 素 。 

不 同 于 之 前 的 HIBE 系统 ,系统 中 的 秘密 钥 会 随 着 分 层 深 度 的 加 深 而 缩短 。 


451 弱 双 线性 Difie-Hellman 求 逆 假 设 


方案 的 安全 性 基于 弱 双 线性 Diffie-Hellman (简称 弱 BDH R WR i, KRA 
éwBDHI, iG, AIG, ME WAR p 的 群 ,2:Gi XG 一 Gs 是 一 个 双 线 性 映射 ,g 和 是 
Gi 中 的 两 个 随机 生成 元 ,a EZ 5 中 的 随机 数 。G: 上 的 4LwBDHI 和 4&wBDHI 问题 定义 
如 下 。 

&wBDHI: 给 定 gehogtsg® og" ,计算 zCg h) 

@wBDHI" : 给 定 gjge sg” seg” ,计算 zCg sh)”. 

这 两 个 问题 在 线性 时 间 归 约 下 是 等 价 的 , 即 ¢-wBDHI@¢-wBDHI"  。 

证 明 : 首先 证 明 4wBDHI<=LwBDHI* 。 

已 知 &wBDHI 问题 实例 (g ,hg gh og") =Cwshewi ee swe). HEE 


(wy howe st sw) = (g* hyp sgl stg) 
= (g" h (gó T gE e OT 
令 B=, w = gi M EREK wsh, CW), WF p e, Cw”), HE 
&wBDHTI 问题 实例 。 H EA wBDHI" 问题 的 求解 得 
è Cw h)” = è (g" Ae = è (gh) =e (gh) 
类 似 地 可 证 明 @ wBDHI* <4 wBDHI. 
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wBDHI 问 题 更 接近 于 BDHI 问题 ,但 为 了 概念 上 的 方便 ,下 面 方案 的 证 明 用 
wBDHI 问题。 

下 面 证 明 G 中 的 上 wBDHI 问题 和 4&wBDHI 问题 可 归 约 到 &BDHI 问题 。 给 定 一 
个 EBDHI 问题 实例 (um sw) = (ggg og") BEL r<—pZ fp S hw, 
fait & wBDHI* 实例 : 

(we sh were wr ew) = Cg" sg gi se gteg) 
= Cg“ eg sieve we see) 

令 p=a™ , MU wey hs wea se ww) = (gg Ce")? Ce" Fe, (pW 

4 &wBDHI" 问题 实例 。 设 TT 是 这 一 实例 的 解 , 则 
一 (cj =e(g ,8g) = è (grg) t" 
=ê (g.g)*,T = (T)? =ê (g,g)" 

就 是 和 BDHI 问题 的 解 。 

下 面 定义 计算 性 和 判定 性 上 wBDHI 假设 。 为 了 方便 ,按照 EwBDHI* 问题 来 定义 。 

设 g h ÆG i 中 的 随机 生成 元 ,x 是 Z; 中 的 随机 数 ,w 一 g" EGY ,如 果 

Pr[ (gj syo) = ê gh)" > 

则 称 算法 以 OR RRC, PA @ wBDHI* 问题 。 

Gi 中 的 判定 性 人 LwBDHI 问题 定义 如 下 。 随 机 选取 TARG? , 令 Jaat 51y 
yoo MWR 

|Pr[ Esh Feaesê (gh) ) 一 1] 一 Pr[ (Eshe T) = 1]|> 

则 称 算法 以 的 优势 解决 Gl 中 的 判定 性 EwBDHI" 问题 。 

&wBDHI 问题 假定 : 没有 多 项 式 时 间 算 法 以 至 少 的 优势 解决 Gi 中 的 (判定 性 )& 
wBDHI' 问题 。 

R am 一 {(g 大 Dn Eg a =A Eh Das T} 
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设 Gi 是 阶 为 素数 p 的 双 线性 群 ,z:G, XG 一 Gs 是 双 线 性 映射 ,第 k 层 的 公开 钥 ( 即 身 
份 ID) 是 (Z; EBAR i ID = (TD,T,…,1)E(Z2)*, 其 中 第 j 个 元 素 对 应 于 第 j 
层 的 身份 。 可 通过 使 用 一 个 抗 碰撞 哈 希 函数 (0.1) >Z; 作用 于 每 个 元 素 万 ,可 将 公 
开 钥 扩展 到 {0,1)" 上 。 假 设 被 加 密 的 消息 是 G, 中 的 元 素 。 
A) 初始 化 (4)。 设 最 大 深度 为 l 
Init(: 
ERIE ger G? ,a R22 ; 
bı =g"; 
E2983 vhi se shy Rk Gi; 
params = (g.g +8g2+8g3 shi» +h) msk = g5. 
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(2) BAPE GE PID= d I) EZ EKA). 
IBEGen(msk-ID) : 
rr Zp; 
dp = (gt + (ahhh © gs)’ og" hin ht) E GP, 

$: dp A MAIDRE H wR n RH, 

(3) BIR, CAHAD = U Ist) (Zp ER dip = 
Cgi e (hheehla © g4)” og” shg ott ht) = (Cao sai sbr ttt by) odp A AN BPE : 

Delegatel dibi D; 
t<R Zs 
dit = (ao + bh + (hh -eehh + gs)’ yar © g' sbin © hin o*t ,be © h4). 
相应 于 doh HIE, r=r HEZ. 
(4) mE RRD WY BID = C ss) EZ; 作为 公开 钥 , 其 中 ME G,) 
s-r Z, 
CT = (ê (gi +g.) * Mg Cah e g3)') E GX Gi. 
注意 : 6(g1,gs) 可 预先 计算 好 ,以 后 反复 使 用 。 
(5) 解密 (其 中 dis = (ao sai sbr stt ,60) ,CT=(A,B,C))。 
a CT): 
: ea, .C) 
BRAS EBay 
这 是 因为 
ECal,C) E(S (hj * g3)") 1 1 
e(B,ao) E(582 Chih » g3)") é (g+g2)" ê (giog) 

可 见 , 不 论 身份 在 哪 一 层 , 密 文 仅 包含 3 个 元 素 , 解 密 仅 需 两 次 配对 运算 。 而 之 前 的 
HIBE 系统 中 , 密 文 大 小 和 解密 时 间 会 随 着 身份 深度 的 加 深 线 性 增长 。 再 者 ,解密 运算 仅 
使 用 di = Cao ,al bipi stt sbe) PAY Go sai s M gyre tet be 仅 用 于 由 父 节 点 产生 后 继 节 点 
(最 多 Ll 一 & 级 ) 的 秘密 钥 。 

方案 的 安全 性 如 定理 4-8 所 述 。 

定理 4-8 ”假设 在 (G ,G:) 上 判定 性 和 wBDHI 假设 成 立 ,那么 以 上 方案 是 IND-sID- 
CPA 安全 的 。 

具体 地 ,如 果 存 在 敌手 以 的 优势 攻击 上 述 方案 ,那么 就 存在 一 个 敌手 以 相同 的 优 
势 攻击 判定 性 人 wBDHI 问题 。 

证 明 : 假设 攻击 4HIBE 系统 的 优势 为 。 可 以 构造 一 个 算法 解决 Gi 中 的 判定 性 
&wBDHI 问题 。 

对 于 生成 元 gE€G1 和 aE€2Z), 令 y=g CG. 算法 的 输入 是 一 个 随机 元 组 (g,h， 
yorey D ETERA som HE T= eC gh) AT AA saom* (此 时 工 是 
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G2 中 均匀 独立 的 元 素 )。 的 目标 是 区 分 哪 种 情况 发 生 ,如 果 Teg. Sth 1, 否 
则 输出 0。 在 下 面 的 选 定 身 份 游戏 中 与 交互 。 

(1) 初始 化 。 首先 输出 一 个 要 攻击 的 目标 身份 仿 * = Cy ee TE Zp 
MLO, WE m<0, MED HUE C—m A 0 (BID 的 长 为 £。 下 面 假设 访 * 是 
(Ziy 上 的 向 量 。 

(2) 系统 建立 。 做 如 下 运算 : 选取 乙 中 的 一 个 随机 数 y , 令 g =y =e". B= ° 
于 一 &rt 。 选 取 Z, 中 的 随机 数 Y Yo 00 Ve i= Bye iii 一 1,2,…,2)。 选 取 Z 中 
的 随机 数 6, 令 g3 = g’ + IT, 

最 后 ， 将 系统 参数 params= (g, gis g2+gaehie hO RIER 。 所 有 这 些 值 都 在 
Gi 中 均匀 独立 分 布 。 隐 含 地 , 主 密 钥 为 中 一 ge = yy ,但 并 不 知道 主 密 钥 的 值 ( 因 
为 没有 ye+l)。 

(3) 阶段 1。 发 起 g, 次 秘密 钥 询 问 。 考 虑 关于 身份 仿 = H, h,e) €(Z 5" 
(ul) 的 秘密 钥 询 问 ,唯一 的 限制 是 ID AR WT ATTA, BE RE {1,2,…,w) 是 使 得 LA 
及 的 最 小 下 标 。 为 应 答 ID 的 秘密 钥 询问 ， 首 先 构造 身份 (了 ,I,…, 1) 对 应 的 秘密 钥 ， 
然后 由 委派 算法 求 出 身份 全 = Ch ,…,T,…,1,) 的 秘密 钥 。 

首先 选取 Z, 中 的 随机 数 Prg nt EE 因 ot 是 未 知 的 ,r 也 是 未 知 
的 ,是 想象 的 。 生成 秘密 钥 
(23° (hieehp e gs) sg" shia ett hs?) (4, 3) 
REA leo LOW-E HT A, Rr 是 想象 的 ,但 计算 式 (4. 3) 
时 ,不 用 直接 使 用 ,而 是 通过 已 知 的 值 来 计算 。 

下 面 用 到 一 个 重要 关系 式 : 对 于 任意 的 i\j, 有 yr 二 yi+;。 

先 看 式 (4. 3) 的 第 二 个 元 素 gr ESF yO eo” ,可 直接 计算 求 出 。 

青 看 第 一 个 元 素 , 其 中 


ki 
k 
hnk e g= (下 二 sh» Tala 
t U) it r 
= (g Dee oa Isia) 
iZAH 

+ tr 
y RON ye į r 
=g yeti 。 Jeki” > (ID vt.) 

iZAH 


4 . è é . > 
= (gY Eimin e ys, w. (I. haa ja z (Hota y 


P; -h) 
VR y? DE Jai 


= (I g7) me 


ii tii a) 5 i (D sEm) 


i=k41 
其 中 T] iia? 一 1 (因为 对 所 有 的 <k LSN). 


因此 , 式 (4. 3) 中 秘密 钥 的 第 一 个 元 素 
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gis (hhewhbe + gs)” 


FU, -ip 

=(Cyen vt) * oe rg ij year ie a i» Wea ) T ° di»: Me ar 
è (yo I gr yeti vy yi = (I a ria) 

所 有 项 都 为 已 知 的 ， 能 够 计算 该 值 。 

类 似 地 , 式 (4.3) 的 第 三 项 hey eee he 也 可 由 已 知 的 值 表达 出 来 。 

这 就 证 明了 可 为 身份 (Th ,1,,…,1) 产 生 秘 密 钥 , 然 后 由 委派 算法 求 出 身份 芒 = 
Cott Tete ,1 ) 的 秘密 钥 , 作 为 询问 结果 返回 给 o 

(4) 挑战 。 当 结束 阶段 1 后 ,输出 两 个 消息 Mo ,Mi EG, WIR 选 一 个 随机 比特 
Bop {O41} ,生成 挑战 密 文 作为 回答 : 

= (Mp © T+ @(y sh”) ,hho ) 

Hp h AMT RA WAA. € h5g c 未 知 ), 则 


£ € 
Ret Diel — (II (87 /yn 。 (> 一 Ch hy g3) 


ê (g hye? e Cy sh”) = lyi sye) © êlyisg”)) = ê Cnn yg') = ê (1+ 82) 
因此 ,车 T=e(g,h)*"( 即 输入 元 组 取 自 wom ), 则 挑战 密 文 是 在 初始 (未 填充 ) 身 
WID = Cy I ye LA Bt Ms 的 一 个 有 效 加 密 , 因 为 
C* = (M; ° ê (gi,g2 Yng (hi shin ehi 。 g3)°) 
= (Mg ° ê (gi1,g82)°,g°, Call «hie gs )°) 
另 一 方面 , 当 工 在 G; 中 均匀 独立 (输入 元 组 取 自 weoar ) ,在 敌手 看 来 C" 是 与 8 无 
关 的 。 
(5) 阶段 2。 发 起 阶段 1 没有 问 过 的 询问 。 以 阶段 1 中 的 方式 进行 回应 。 
(6) 猜测 。 输出 猜测 B'S (0.1). 按照 如 下 规则 判断 自己 的 游戏 输出 : 如 果 B= 
B， 输 出 1, 表示 =e(g,h)* ,否则 输出 0, 表示 工 是 G* 中 的 随机 元 。 
当 输入 元 组 取 自 eom (其 中 T=êlg h) )， 的 视图 与 真实 攻击 游戏 的 视图 相 
同 ,所 以 |PrL[8' = 月 一 1/2| 宇 。 当 输入 元 组 取 自 wsom* (其 中 工 在 G2 中 均匀 分 布 ), 则 
Pr[8“= 有 四 =1/2。 因 此 ， 对 于 Gi 中 的 均 4 匀 元 素 gh.Z, 中 的 均匀 元 素 a 和 Gs 中 的 均匀 元 素 
T.A 
|Pr[ (goh, Speer (h) ) 一 1] 一 Pr[ (Eh: Seae T) = 1] | 


1 
电击 ;j= 二 
sihe] 2 


453 具有 短 秘 密 钥 的 HBE 系统 


某 些 应 用 中 ,使 用 短 秘密 钥 而 不 是 短 密 文 的 HIBE 系统 效果 更 好 。 下 面 给 出 一 个 秘 
密 钥 大 小 随 层级 深度 呈 亚 线性 增长 的 HIBE 系统 。 





GEM 4-8 证 毕 ) 
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主要 思想 是 结合 4. 5.2 节 的 HIBE 和 4.4 节 HIBE, 构 造 一 个 混合 的 HIBE。4. 5.2 
节 的 HIBE 中 ,秘密 钥 会 随 层级 深度 的 加 深 而 缩短 ,4.4 节 的 HIBE 中 的 秘密 钥 会 随 层级 
深度 的 加 深 而 变 长 。 混 合 系统 基于 两 个 系统 之 间 的 代数 相似 性 ,利用 它们 关于 秘密 钥 大 
小 的 相反 特性 ,可 确保 没有 秘密 钥 超 过 OWC) 个 群 元 素 。 

特别 地 ,对 于 wE[L0,1], 混 合 方案 每 一 层 身份 的 秘密 钥 大 小 可 达到 OC +0) 
文大 小 可 达到 OC"), w=0 对 应 于 4. 5.2 FAY HIBE,w 二 1 对 应 于 4.4 节 的 HIBE。 当 


wE [0 去 ] 时 ,得 到 的 混合 方案 效果 最 佳 。 例如 , 当 % 一 去 ,秘密 钥 和 密 文 的 大 小 均 为 


OWD 。 

WG, AIG, ME Br BM p 的 群 ,Ee:G1 XG 一 Gs 是 一 个 双 线性 映射 。 令 4 =[e 1, 
bs 二 [4“|。 基本 思想 是 将 层级 划分 为 4 个 大 小 为 & 的 连续 分 组 ,每 个 组 内 使 用 4. 5.2 节 
的 HIBE, 组 与 组 之 间 使 用 4.4 节 的 HIBE。 

SIDS lav) E (Z; 是 一 个 深度 为 <l 的 身份 。 将 项 表示 为 一 个 对 (， 
TD) SEP IEZ; ETRA hlovo L 按 自 然 顺 序 排列 (从 左 到 右 , 从 上 到 下 ) 的 
6 Xb, APEC, © Ok) HT EG FR R= 1,2, 0+ sl 分 解 为 行 - 列 对 (ki sko) ,使 得 
k=O * Chi D+ he FEP hy ke 00 MICH k= Chi he) I Te = Tea, gy G= 1,200 bdo 
C=C, 0, WU 


L I, ane l, Iaw la … Ia 
I Ln lesz PER Tx, Tey le.» 5 Ley 
Tu -pet To -det oc Tee, Tv Te, ,2 ERE Toe, ly) 
(1) 系统 建立 。 设 最 大 深度 为 lo 
JInit(CL) : 


确定 4 ,4 HR CA + hs 
生成 元 g RG? ,a < 一 RZ; 
wegg 
ges fists fa rhis he RG1s 
params = (g481+82+fist + fa shi stt she, ) msk = gi. 
(2) 密 钥 产生 (其 中 ID= C1, ,7 oT) © (CZ Osk WIE Ck sk) = ROR sho 


ADA 
IBEGen(msk, ID) : 
Tis Th RZ; 
4-1 
b= (s: : (I CHO? chha e fa e Ye Chit? haaa fa hs 
gigs gh shih, his ) € Gs. (4.4) 
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注 : 符号 [[ 下 的 前 一 个 因子 (…)" 包含 [个 身份 项 ,而 后 一 个 因子 (…)"h REAR 
ks 个 身份 项 。d 击 的 大 小 会 随 i 变 大 而 变 长 , 随 ks 变 大 而 缩短 ,但 不 会 超过 Gi 中 的 4 十 
4, FAR, 
(3) Bik. We eA 2 D = Chee) EZO RA 
HER, ER DEST Ck ,As ) ,分 两 种 情况 讨论 : 
。 如 果 一 1 的 拆 分 为 ( ska — 1), Be AR —1 有 相同 的 行 标 态 TD 的 秘密 钥 
具有 以 下 形式 : 
hmi 


1 
dix 一 (好 Š I Chie whit efo Chit? seh tat . i yt, 


gn gh shi sesh ) = (ay oh gett Dp, +e, sty) ē Gia 
因此 dap WD AOE FE 
Delegate(dib 1 + ID) : 
r* <RrZy; 


I I I y iu 
di = (a . co Cham hy? © fa)” sbi sets bub, eg > 


Chti ° Kesi ti T “ ) E Gth, 
dp MXC. OHE HP rn, Sri, tr’ 
若 行 标 不 同 , 则 必 有 一 1= Che — 1. WK k= ( 1) TD BY EV 
FÉR: 


k=l 
dini = (83° (II Chien h © FI" og seer agin ) 
= (abi by) E Gh 
因此 de an RPE 
Delegate( dib ID) : 
r<RZp3 
dò = (ao + (h? e fa obist ba 9B" shh oe hs VE GH. 
dp AX. OEHR r, =r. 
(4) 加 密 (用 接收 方 的 身份 全 = (Th Ino Le) EZ; 作为 公开 钥 , 其 中 ME Ges 
有 一 (ea sho) 
5M): 
S<RZ, 
CT = Cai sg) © Mog? h? hee? © f1)' soe, 
Chih? eeeh hit e fya) hye? hit? E GX GT, 
(5) 解密 (其 中 仿 = (1 Le v0 Le) = Cki oa) d= Cao sbi stt sba, sch tas le) 
CT=(A,B,C, 52**5Ci,=15Cy,)) » 
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ah 





A 
TI zcC) 


返回 A» 三 一 一 一 . 
e(B,ao) 


E: 秘密 钥 中 元 素 co+l,…,ca 不 用 于 解密 。 

下 面 讨论 方案 的 复杂 性 和 安全 性 。 

(1) 复杂 性 。 容 易 看 到 深度 为 4 的 分 层 结构 中 ,每 一 层 的 秘密 钥 包 含 至 多 Oth 个 
Gi 中 的 元 素 , 密 文 包含 至 多 1 十 4 个 Gi 中 的 元 素 和 1 个 G* 中 的 元 素 。 加 密 、 解 密 以 及 向 
下 一 层 的 密 钥 生成 共 需 OC, +62) BK OWOC w=1/2 时 ) 次 运算 。 

(2) 安全 性 。 方 案 的 安全 性 基于 l,-wBDHI IZ. 4 o=1/2 时 ,4 级 分 层 方案 的 安 
全 性 基于 OWL-wBDHI 假设 。 

定理 4-9 设 G 是 一 个 素数 阶 p 的 双 线 性 群 ,在 混合 上 HIBE 系统 中 将 身份 层 数 4 划 
分 为 4 个 大 小 为 h 的 分 组 。 如 果 在 G: 中 判定 性 6-wBDHI* 假设 成 立 , 则 混合 CHIBE 
系统 是 IND-sID-CPA 安全 的 。 

具体 地 ,如 果 存 在 敌手 以 的 优势 攻击 CHIBE 系统 ,那么 就 存在 一 个 敌手 以 相同 
的 优势 攻击 判定 性 如 -wBDHI 问题 。 

TEAR: 假设 以 的 优势 攻击 HIBE 系统 。 利 用 ,可 以 构造 一 个 算法 解决 G, 中 的 
判定 性 6,-wBDHI" 问题 。 

对 于 生成 元 sgEG 和 acEZ,, 设 w%=g"EGi。 的 输入 是 一 个 多 元 组 Cg, ，… 

yey TEM AEA om ,此 时 =e (gh T AT BCL von ,此 时 工 从 Gs 中 随 
seas 的 目标 是 区 分 哪 种 情况 发 生 ,如 果 Te Cg hy. HH 1, 否 则 输出 0。 
算法 在 选择 身份 游戏 中 与 交互 如 下 。 

a) 初始 化 。 首先 输出 一 个 要 攻击 的 目标 身份 仿 * = CTF TS ee Ia) EZGO” 
MLO., Wm., EID 右边 填充 (一 m 个 零 使 得 访 * 是 一 个 4 长 的 向 量 。 从 现在 起 ， 
假设 ID* 是 一 个 4 长 的 向 量 。 按 照 约 定 , 记 项 ' 为 一 个 对 (4, 三 ) ,其 中 矩阵 天 EZ4xe 的 
THA If Te. 

(2) po 如 下 建立 系统 参数 : 在 Z, 中 选取 随机 数 7, 令 =m SgS 
9° 2 =k greet 。 在 Z 中 选取 随机 数 yi ,7 ，… sYa DS hi=g" / ye- G12.) 在 
Z, 中 选取 随机 数 61,6,,…,64 , 令 fi = g e ae! Kin G = 1,254). 

系统 参数 为 params 一 (g,glygz ,万 , this es 所 有 这 些 值 都 在 G, 中 均匀 独 
立 分 布 。 将 系统 参数 发 送 给 。 与 le vf AY g =g =g tD = y+ 

XY， 不 知道 主 密 钥 , 因 为 没有 y+1。 

(3) 阶段 1。 发 起 g, 次 秘密 钥 询 问 。 考 虑 关于 项 = H ,1,…,1,) (ub) 的 秘密 钥 
询问 ,唯一 的 限制 是 让 不 能 为 访 ' RID 的 前 级 , 即 存在 一 个 kE {1,2,…,u} 使 得 LATS 
ANDREID 的 前 级 ) ; 令 是 符合 以 上 要 求 的 最 小 指标 。 为 了 回答 该 询问 ， 首 先 产 
ETD, = Ch La + O RREA ETD = Co ,I,… ,1,) 的 秘密 钥 。 
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按照 约定 ,我 们 记 ITM 为 一 个 对 (k, 了 ,其 中 矩阵 1" EZY TRH Isls Iro 
将 上 拆 分 为 一 个 行 - 列 对 (ki sk) =kOR ki Sh, she Kh) o 


FEZ, PEI BEML ry ort ere Fa, 。 假 设 tin €Z,. Aare 
未 知 的 ,mx 也 是 未 知 的 ,mx 是 想象 的 。 
生成 秘密 钥 
dg =(& fs Chit? hit? é fa ji e (I Cai? eho fD ); 
i=1 


0 she) E GMA (4.5) 


这 是 关于 身份 TH 的 一 个 正确 分 布 的 秘密 钥 。 虽然 内 是 未 知 的 ,但 能 通过 自己 已 知 
的 值 ,计算 dm 中 的 所 有 元 素 。 


下 面 用 到 一 个 重要 关系 式 : FER ij A ot 


= Yi+j o 
Ay a, -ia ) r 
首先 gm 等 于 yw ee gh hy 。 
秘密 钥 的 第 一 个 元 素 中 
7 1 I 
Z= Chit? ohh? A Fai yr 
by kl ei : A i 
= g'a Cy tla, 0%) è [I yn Ty Tay, yh” Eh sty T a I] yh Tay 
imi laitl 4 一 t+1 Gi 
i=1 这 二 1 
$, 
2 
“a, ) 
= ay t Bey HD TG DN) e yh Ta kp TT ha) 
(g 4 1 i Veet 


b, 
2 . 
+ -i 
= (ge™ ) C% +E lao) . ya il lacs hei a 


4 一 b+1 





2 
其 中 FA aoa 1 RE RAT AY <k L= O ap = Iip JEP ik 


H j<k). arn) Cut Ba, on) a 计算 出 后 村 他 村 都 已。 


4 
Ià PE A 
Fk Ia r pen ey, uae hy oi i in On) 
ee [ | k Da m ka a} 4 1 
AL Vin tt Vart 
i= hy H isk 名 
i 
4 (人 N: 
= y Ny akg My sky)? o y Ae 
3 2 fi 
isnt thi : 


可 由 已 知 的 值 计 算出 来 。 所 以 Z 中 除了 yin ie ao 外 ,都 可 由 已 知 的 值 计 算 
出 来 。 


+d, aa > creo =I ) 
2 Mey kg) Mey —ky = Moa ey ekg) (ky ky) = a 
但 g, xe ay 2 ii ya+l MM ye =k Pr oe /Yt yi 


yra, Sipan” 也 可 由 已 知 的 值 计 算出 来 。 所 以 gs * aho hye © fa) 都 可 
由 已 知 的 值 计算 出 来 。 
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hA ki 


4 4 . 
类 似 地 ， [I Nw fp = [I (g7 CE") . I [ yi GEP TOP) 也 可 被 
je 


计算 。 所 以 ， 能 计算 趟 (4. 5) 中 秘密 钥 的 第 一 个 元 素 。 
BA ror Tai ,因此 能 计算 元 素 gm ,gz ,…,gm-: 。 最 后 ,观察 


ae 


AA, = (gti /ye = Gp” Jirsa o eae 
对 所 有 的 i 一 1,2,…,l, 一 k,， 都 能 计算 ,因为 其 中 没有 项 w 4 。 
所 以 ， 可 以 为 身份 0 = C ,1,…,1) 产 生 有 效 的 秘密 钥 ,进而 用 该 秘密 钥 产 生 后 
代 身 份 芒 的 秘密 钥 , 作 为 询问 结果 返回 给 。 
(4) 挑战 。 当 结束 阶段 1 时 ,输出 两 个 消息 Mo M EG, 算法 选 一 个 随机 比特 
Bk{0,1) ,生成 挑战 密 文 作为 回答 : 


4 Q 4 
C* = (Mp Te ey oh) hh È ap hèt WMG yor hòa tÈ KaD? ) 
Hp h MT IRA WA, € h=g e 未 知 ), 则 
4 


ht Elani = Chie? soho ERD 


因此 ,车 T=é(g,h) ( 即 输 入 的 多 元 组 取 自 veoar ), 则 挑战 密 文 
en efi Epee P ehit 。 fe yy 
FETEATE AID? = Cy I ,…,17 ) 下 对 Ms 的 一 个 有 效 加 密 。 另 一 方面 , 当 工 在 G; 中 均 
匀 独 立 ( 输 入 的 多 元 组 取 自 wsom* ),C" 在 敌手 看 来 是 独立 于 的 。 

(5) 阶段 2。 发 起 阶段 1 没有 问 过 的 询问 。 以 阶段 1 中 的 方式 进行 回应 。 

(6) 猜测 。 输出 猜测 PE (0,1)。 按照 如 下 规则 判断 自己 的 游戏 输出 : 如 果 B= 
8， 输 出 1 ,表示 TH2Cg hE ,否则 输出 0, 表 示人 是 Gs* 中 的 随机 元 。 

当 输入 的 多 元 组 取 自 wsom* (其 中 T=E(g,h)“”) 时 ， 的 视图 与 真实 攻击 的 视图 相 
同 , 所 以 |Pr[8 =8]—1/21> 。 当 输入 的 多 元 组 取 自 waom GEP T 均匀 分 布 于 
G 中),Pr[p'== 有 ==1/2。 因 此 ,对 于 G7? 中 的 均匀 元 素 g,h,Z, 中 的 均匀 元 素 a 和 Gy 中 
的 均匀 元 素 ,有 

| Prl (gsh, Sean êl h)" ) = 0] —Prl (gsh, Seog T) = 0] | 


>+) 
GEM 4-9 证 毕 ) 


4.6 基于 对 偶 系统 加 密 的 完全 安全 的 IBE 和 HIBE 


C* = (Mp ° €(g1 sg: ogi (hin oh 








461 对 偶 系 统 加 密 的 概念 


前 面 介绍 的 IBE 和 HIBE 方案 在 安全 性 证 明 时 都 采用 分 离 式 策略 ,模拟 器 ( 即 敌 手 
) 在 扮演 的 挑战 者 时 ( 见 图 1-7) ,将 身份 空间 划分 为 两 部 分 ,第 一 部 分 是 可 为 其 中 的 身 
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份 产 生 秘密 钥 的 ,第 二 部 分 是 可 为 其 中 的 身份 产生 挑战 密 文 的 。 分 离 式 策略 虽然 很 有 用 ， 
但 有 局 限 性 。 一 是 系统 的 参数 可 能 过 大 ,实现 起 来 不 方便 。 二 是 对 诸如 HIBE 和 基于 属 
性 的 加 密 ( 简 称 ABE) 系统 ,分 离 式 策略 不 适合 安全 性 证 明 。 例 如 ,在 HIBE 中 ,分 离 式 策 
略 必须 保证 如 果 能 为 某 个 身份 产生 秘密 钥 , 那 么 也 能 为 该 身份 的 所 有 后 继 身份 产生 秘 
密 钥 。 但 安全 性 随 着 层次 深度 的 增加 而 指数 级 地 减弱 ,使 得 分 离 式 策略 失去 意义 。 

对 偶 系 统 加 密 可 以 克服 分 离 式 策略 产生 的 上 述 问题 ,方案 中 将 密 文 和 密 钥 取 两 种 不 
可 区 分 的 形式 : 正常 的 和 半 功 能 的 。 半 功能 的 密 文 和 密 钥 仅 用 来 完成 方案 的 安全 性 证 
明 ,不 在 真实 的 加 密 方案 中 使 用 。 正 常 密 钥 可 以 用 来 解密 正常 密 文 和 半 功 能 密 文 ,正常 密 
文 可 以 被 正常 密 钥 和 半 功 能 密 钥 解密 。 然 而 ， 














Normal SF 
当 用 半 功 能 密 钥 解密 半 功 能 密 文 时 ,解密 失 wl ey 
败 ,这 是 因为 密 钥 和 密 文 中 的 半 功能 部 分 通过 L 
相互 作用 而 引入 了 一 个 额外 的 随机 项 , 乘 在 密 。 号 > J j 
文中 原来 的 盲 化 因子 上 。 它 们 的 关系 见 Nm 
图 4-6, 其 中 Normal 表示 "正常 ",SF 表示" 半 S J x 
功能 ”, 列 表示 密 钥 , 行 表示 密 文 ,VV 表示 可 以 SF 
解密 ,XX 表示 不 可 以 解密 。 图 4-6 对偶 系统 加 密 中 密 文 和 密 钥 的 关系 


对 偶 系统 加 密 的 安全 性 证 明 是 通过 一 系 
列 不 可 区 分 的 游戏 进行 的 ,其 中 第 一 个 游戏 中 所 有 密 文 和 密 钥 都 是 正常 的 ,下 一 个 游戏 
中 ,所 有 的 密 钥 都 是 正常 的 ,但 密 文 是 半 功 能 的 。 设 敌手 进行 gq 次 密 钥 提取 询问 , 则 在 其 
中 第 个 游戏 中 ,前 & 个 密 钥 是 半 功 能 的 ,其 余 密 钥 是 正常 的 。 在 游戏 g 中 ,返回 给 攻击 
者 的 所 有 密 钥 和 密 文 都 是 半 功 能 的 ,因此 所 有 的 密 钥 都 不 能 解密 挑战 密 文 。 所 以 没有 必 
要 对 身份 空间 进行 划分 ,从 而 使 得 安全 性 证 明 变 得 相对 容易 。 表 4-1 是 密 文 和 密 钥 的 变 
化 情况 。 


表 4-1 对 偶 系 统 加 密 中 密 文 和 密 钥 的 变化 情况 















































秘密 钥 询问 
游戏 WREX C 
1 . k e.. q 

Real Normal 

0 SF Normal 

1 SF Normal 

k SF Normal 

q SF 
Final 随机 消息 SF 





当 证 明 游戏 & 和 游戏 & 一 1 不 可 区 分 的 时 候 , 模 拟 器 ( 即 敌 手 ) 可 以 使 用 任何 合法 身 
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份 IDC 询问 的 ) 来 建立 挑战 密 文 和 秘密 钥 , 这 导致 了 一 个 潜在 的 问题 。 可 以 生成 ID 的 
半 功 能 密 文 和 第 个 密 钥 sk. HH sk 解密 这 一 半 功 能 密 文 ,看 是 否 能 够 解密 就 可 确定 sk 是 
否 为 半 功 能 的 。 如 果 能 为 产生 这 样 的 密 文 和 密 钥 ， 就 有 可 能 区 分 游戏 & 和 游戏 一 
1。 为 解决 这 一 问题 , Waters 的 IBE 方案 上 为 每 一 个 密 文 和 密 钥 关联 了 一 个 随机 的 标签 
值 ,只 有 当 密 文 和 密 钥 的 标签 值 不 相等 时 才能 正确 解密 。 当 模拟 器 想 通过 构造 ID 的 半 功 
能 密 文 测试 ID 对 应 的 秘密 钥 是 否 为 半 功 能 时 ,只 能 生成 标签 值 相同 的 半 功 能 密 文 。 因 
此 ,解密 将 是 无 条 件 失败 的 。 而 且 对 于 攻击 者 而 言 , 这 些 标签 的 分 布 是 随机 的 。 但 
Waters 的 HIBE 方案 有 两 个 缺点 。 首 先 , 在 密 文 和 密 钥 中 需要 将 身份 的 每 一 层 用 单独 的 
标签 标识 出 来 ,而且 标签 必须 在 密 文中 给 出 ,导致 密 文 的 尺寸 会 随 着 分 级 的 深度 而 线性 增 
长 。 其 次 ,无 法 在 密 钥 委派 时 对 标签 进行 再 随机 化 ,这 意味 着 从 第 d 层 委派 生成 的 第 d+ 
1 层 的 密 钥 将 与 第 d 层 共享 前 d 个 标签 值 , 因 此 将 密 钥 与 其 派生 出 的 密 钥 之 间 的 派生 关 
系 泄露 了 出 来 。 

本 节 介绍 Lewko 和 Waters 的 方案 器 , 方案 中 为 了 去 掉 标 签 ,引入 了 半 功 能 密 钥 的 
一 个 变形 概念 , 称 为 "名义 上 的 ? 半 功 能 密 钥 。 这 些 名 义 上 的 半 功 能 密 钥 是 指 它们 和 半 功 
能 密 钥 的 分 布 是 相同 的 ,但 在 解密 半 功 能 密 文 时 ,两 个 半 功 能 部 分 将 相互 抵消 ,导致 解密 
成 功 ,使 得 无 法 区 分 这 个 密 钥 是 正常 的 还 是 半 功 能 的 ,攻击 者 更 无 法 区 分 。 同 时 在 委 
派 过 程 中 , 密 钥 可 以 完全 再 随机 化 ,从 而 避免 了 Waters 的 HIBE 方案 中 密 钥 与 其 派生 出 
的 密 钥 之 间 的 派生 关系 被 泄露 的 问题 。 

方案 是 在 合 数 N 阶 群 上 构造 的 ,其 中 N 是 3 个 不 同 素数 的 乘积 。 


462 合 数 阶 双 线性 群 


设 表示 双 线 性 群生 成 算法 ,其 输入 是 安全 参数 ih ON S= pi pep: G Gre) EW 
双 线 性 群 的 描述 ,其 中 pi, perps 是 3 个 互 不 相同 的 素数 ,G 和 Gzr 是 NN 阶 循环 群 (假设 群 
G 和 Gz 的 描述 包括 各 自 的 生成 元 ) ,2:G XG 一 Gr 是 双 线 性 映射 ,满足 如 下 性 质 : 

A) 双 线 性 。 对 于 任意 gh<eG ,a,0<RZv Helg sh’) =e gh)”. 

(2) 非 退 化 性 。 存 在 一 个 gEG ,使 得 eC(g,g) 在 Gr 中 的 阶 是 N。 

进一步 要 求 群 G 和 Gr 中 的 运算 以 及 双 线 性 运算 6 都 可 以 在 安全 参数 的 多 项 式 时 间 
内 完成 。 用 Gu «Gp, MG, 表示 群 G 中 阶 分 别 为 pip: 和 ps 的 子 群 ,由 定理 1-14 HIG, 、 
Gp, 和 Gs, 仍 是 循环 群 。 注 意 到 ,车 Aj hi Gy, hy Gs Wê Ch: hj) ERGP RET. 
为 了 证 明 这 一 点 ,假设 hEG A h EG, o H g 表示 群 G 的 生成 元 , 则 gt EG, AYE Be 
元 ,gm 是 G6 的 生成 元 ,g** 是 Gs 的 生成 元 。 因 此 ,对 于 hE€G。 和 hh,€G, ,存在 
a (Oa; <p, ) sa: (Oa <p) » (EE hi = (g) hy = (gis ee, AE: 

ElChi shy) = EC gta gh) = 2(g ,grr )PiPets = 1 

这 一 性 质 称 为 G, 和 G,, 是 正 交 的 ,类 似 地 .G,, 和 G,, 是 正 交 的 ,G,, 和 G,, 是 正 交 的 。 

下 面 给 出 的 复杂 性 假设 都 是 静态 的 , 即 问题 不 依赖 于 分 级 深度 和 攻击 者 进行 询问 的 
次 数 。 第 一 个 假设 是 当 群 的 阶 是 3 个 不 同 素数 乘积 时 的 子 群 判定 假设 。 
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用 Gy。,、Gpp,、Gzszs 分 别 表 示 群 G 中 阶 数 为 p1pz、pi1p3 和 pops 的 子 群 ,Gp », «Go», 
Gp, 仍 是 循环 群 。 
假设 1(3 个 素数 的 子 群 判定 问题 ) 给 定 一 个 群生 成 算法 ,定义 如 下 分 布 : 
N = (N = piprps,G .Gr.e)< , 
& RG», ,Xs < RGo,， 
D = (Q,g,X3), 
Ti RG», », T: rG, 
定义 算法 攻破 假设 1 的 优势 是 
Advl, ( ) =| Prl (D,T,) =1J—PrL (D.T) =1] | 
注意 到 T, 可 以 被 写成 G MG, 中 元 素 的 乘积 ,将 乘积 中 的 两 项 分 别称 为 六 HG, 
部 分 和 T, 的 Gy 部 分 。 
定义 4-3 ”对 于 任意 一 个 多 项 式 时 间 算 法 和 一 个 群生 成 算法 ,如 果 Adv1 ,，( ) 是 
安全 参数 的 一 个 可 忽略 函数 , 则 称 群 生成 算法 满足 假设 1。 
假设 2 给 定 一 个 群生 成 算法 ,定义 如 下 分 布 : 
QN = (N = pppssG Gre) < 一 ， 
Cg X1) RGp (XesYs) RG, »(X3+Y3) eG, > 
D = (0,g,X,X25X35Y2Y3)> 
Ti «RG + Tz < 一 RGom 
定义 算法 攻破 假设 2 的 优势 是 
Adv2, ( ) =| Prl (D.T,) =1]—PrL (D.T) = 1] | 
注意 到 T 可 以 被 写成 G。 .Go 和 Gy 中 元 素 的 乘积 ,将 乘积 中 的 3 项 分 别称 为 T 中 
的 Gs, 部 分 .Ti 中 的 Go 部 分 和 Ti 中 的 Gu 部分。 类 似 地 ,T* TURE MG, 和 Gu 中 元 素 
的 乘积 。 
定义 4-4 对 于 任意 一 个 多 项 式 时 间 算 法 和 一 个 群生 成 算法 ,如 果 Adv2 ,( ) 是 
安全 参数 的 一 个 可 忽略 函数 , 则 称 群 生成 算法 满足 假设 2。 
假设 3 给 定 一 个 群生 成 算法 ,定义 如 下 分 布 : 
N = (N = piprp3:G Gr,e) < ，a sy<RZN， 
E RGp (KesY2 ,ZL2) RG, > Xs RG; > 
D = (Q, g.g°X25X3+8°Y2+Z2)> 
Tı = êlgsg)”, Ti 一 RGr 
定义 算法 攻破 假设 3 的 优势 是 
Adv3, ( ) =| Pr (D,T,) =1]—PrL (D.T) = 1] | 
定义 4-5 对 于 任意 一 个 多 项 式 时 间 算 法 和 一 个 群生 成 算法 ,如 果 Adv3, ( ) 是 
安全 参数 的 一 个 可 忽略 函数 , 则 称 群 生成 算法 满足 假设 3。 


463 基于 对 偶 系 统 加 密 的 BEAR 


BEG 是 阶 为 N= pr pops 的 双 线性 群 ,其 中 pi po. ps 是 3 个 不 同 的 素数 ,Ga .G,, 和 
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Gp, 表示 群 G 中 阶 分 别 为 pipo 和 ps 的 子 群 。 身份 ID 是 Zw 中 的 元 素 。 之 所 以 选 N 为 3 
个 不 同 素数 的 乘积 ,是 因为 要 得 到 3 个 子 群 G, Gp, MG, ,本 质 上 说 ,系统 的 运算 (包括 参 
数 的 建立 加密、 解密 ) 都 在 Gw 上 ,Gu 用 来 对 密 钥 进一步 随机 化 ,Gw 用 作 半 功能 空间 , 当 
密 钥 和 密 文 含有 G,, 中 的 元 素 时 ,就 是 半 功 能 的 。 正 常 密 钥 和 半 功 能 密 文 做 配对 运算 ,或 
者 半 功 能 密 钥 和 正常 密 文 做 配对 运算 ,由 于 3 个 子 群 的 相互 正 交 性 ,G,, 中 的 元 素 将 被 前 
去 。 而 半 功 能 密 钥 和 半 功 能 密 文 做 配对 运算 时 ,得 到 G,, 中 额外 的 项 ,使 得 解密 失败 (除非 
密 钥 是 名 义 上 的 半 功 能 的 )。 
(1) 初始 化 。 
Init ( ): 
usgsh RG, + 
a<RZy3 
params = (N,u.gsh,é(g.g)*), msk = a. 
(2) 加 密 ( 用 接收 方 的 身份 IDE Zw 作为 公开 钥 , 其 中 MEG). 
wD: 
S<RZN; 
全 Ma 
CT = (C ,Ci,C;). 
(3) 密 钥 产生 (其 中 IDEZN )。 
IBEGen(ID,msk) : 
r pLN; 
(Ra R3) RG, 5 
K, = g'Rs, K: = g" (uPhY' R3; 
K = (Ki,K;). 
(4) 解密 (其 中 开 王 (KK:) ,CT 一 (Co,Ci,Ca))。 
x(CT); 
、 Co 
= 2(Ks ,C2) ` 
e(Ki,C1) 
这 是 因为 
Ee(KssCs) _ êlg, g)“ êluPh, g)" 
é(Ki Cı) é(uPh.g)” 
注意 子 群 Gy, 在 方案 中 并 没有 使 用 , 它 只 是 作为 方案 的 一 个 半 功 能 空间 。 当 密 钥 和 密 
文中 包含 子 群 Gu 中 的 元 素 时 ,它们 就 是 半 功 能 的 。 解 密 时 对 密 钥 元 素 和 密 文 元 素 做 配对 
运算 ,这 样 就 可 实现 所 需要 的 解密 功能 , 即 当 正常 密 钥 和 半 功 能 密 文 做 配对 运算 ,或 者 半 
功能 密 钥 和 正常 密 文 进行 配对 运算 时 ,由 于 子 群 Gu 中 的 项 与 Gy 中 的 项 及 G,, 中 的 项 是 正 
交 的 ,因而 会 相互 抵消 。 而 当 半 功 能 密 文 和 半 功 能 密 钥 进行 配对 运算 时 , 则 会 得 到 一 个 由 
配对 运算 产生 的 Gu。 中 的 额外 项 。 
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为 了 证 明 方案 的 安全 性 ,首先 给 出 半 功 能 密 钥 和 半 功 能 密 文 的 产生 方式 。 
。 半 功能 密 文 。 设 gs 是 子 群 Gu 的 生成 元 。 半 功能 密 文 可 按 如 下 方式 构造 。 
利用 加 密 算法 生成 正常 的 密 文 (Cs ,C1 ,Cs)。 选 取 随 机 指数 x. zp Zy ,构造 
C=C C= C— Cig 
(Co ,C1 ,Cs ) 即 为 半 功 能 密 文 。 
半 功 能 密 钥 。 可 按 如 下 方式 生成 : 利用 密 钥 生成 算法 生成 正常 的 密 钥 (Ki KS) 
选取 随机 指数 Ys Zk RZyN ,构造 
K, = Kig, K, = Kgs 
(Ki,K;) 即 为 半 功 能 密 钥 。 

注意 到 如 果 用 半 功 能 密 钥 解密 半 功 能 密 文 , 则 会 产生 额外 的 盲 化 因子 2 (gs， 
gO, MR x 二 xz。, 则 解密 成 功 。 在 这 种 情况 下 ,如 果 密 钥 中 包含 Gs, 的 项 ,但 又 不 
妨碍 解密 , 则 称 这 样 的 密 钥 是 “名 义 上 ” 半 功 能 的 。 

方案 的 安全 性 基于 4. 6. 2 节 中 给 出 的 3 个 假设 ,利用 一 系列 游戏 的 混合 论证 方式 。 
称 第 一 个 游戏 为 Expneal, 它 是 真实 的 游戏 。 称 第 二 个 游戏 为 ExpRestrictea ， 它 与 Exprea 的 区 
别 在 于 攻击 者 询问 的 身份 与 挑战 密 文 所 对 应 的 身份 不 能 是 模 qo 相等 的 ,这 比 Expren 的 限 
制 更 强 。 在 Expren 中 ,要 求 攻击 者 询问 的 身份 与 挑战 密 文 对 应 的 身份 是 不 能 模 N 相等 
的 。 在 后 面 的 游戏 中 ,将 保留 这 个 更 加 严格 的 限制 ,并 且 会 在 后 面 的 证 明 中 解释 这 样 做 的 
原因 。 用 9 表示 攻击 者 进行 密 钥 提 取 询 问 的 次 数 。 对 于 0 和 g 之 间 的 某 个 上 ,定义 Exp, 
如 下 : 

Expy 与 Expresrined 类 似 ,区 别 在 于 攻击 者 得 到 的 挑战 密 文 是 半 功 能 的 ,前 & 次 密 钥 提 
取 询 问 的 返回 结果 也 都 是 半 功 能 的 ,但 其 余 密 钥 询 问 的 返回 结果 都 是 正常 的 。 

在 Expo 中 ,所 有 密 钥 询 问 的 返回 结果 都 是 正常 的 ,只 有 挑战 密 文 是 半 功 能 的 。 在 
Exp, 中 ,挑战 密 文 和 所 有 密 钥 询问 的 返回 结果 都 是 半 功 能 的 。 

最 后 一 个 游戏 是 Expraa EAS Exp, 类 似 , 区 别 在 于 攻击 者 得 到 的 挑战 密 文 是 一 个 对 
随机 消息 的 半 功 能 加 密 结果 ,而 不 是 由 攻击 者 所 选取 的 两 个 消息 的 加 密 。 以 下 引 理 将 证 
明 各 个 相 邻 的 游戏 是 不 可 区 分 的 。 

引 理 4-3 如果 存 在 敌手 能 以 的 优势 区 分 Expresia M Expra, 则 存在 敌手 ,能 以 
/3 的 优势 攻破 假设 2。 

证 明 : CA D=(Q,g.X,X..X3-Y.Y, MT. Hit T AIA FC BER H Ga o 
为 此 模拟 与 之 间 的 游戏 Expres 或 Exppesrcea WMR 能 以 的 优势 区 分 Exppea 和 
Exprestricea ABA 就 能 够 找到 两 个 身份 ID 和 ID* ,满足 IDAID* mod N ,并 且 ID=1D* 
mod ps( 如 果 不 能 找到 这 样 的 两 个 身份 ， 只 能 简单 地 随机 猜测 )。 可 以 利用 这 些 身 份 
计算 N 的 一 个 非 平凡 因子 ae=(ID 一 ID*” ,N) 。 进 一 步 设 b= N/a. AVF 3 种 可 能 : 

(1) a 和 0 中 ,一 个 是 pi , 另 一 个 是 bapo 

(2) a 和 2 中 ,一 个 是 ps, 另 一 个 是 pipo 

(3) a Mb 中 ,一 个 是 ps, 另 一 个 是 pi pr 

第 一 种 情况 : 可 以 通过 计算 测试 (YsYs)* 或 (YY;)* 是 否 为 单位 元 ,判断 是 否 为 第 
一 种 情况 。 如 果 (Y。Y;)* MOLY: 有 一 个 为 单位 元 , 则 的 确 为 第 一 种 情况 。 可 以 不 失 一 
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般 性 地 假设 (YsY;)* 是 单位 元 , 则 a= p: b= pr ps o 

然后 ， 可 以 通过 计算 测试 ECT ,XiX,) 是 否 为 单位 元 以 判断 了 是 否 包含 Gy, 中 的 元 
素 。 如 果 z(T ,XiX,) 是 单位 元 , 则 了 不 包含 G,, 中 的 元 素 , 即 本 是 取 自 Gy, yp, 的 。 因 为 如 
果 T=Z42s, 则 T*=Z89 ,CT ,XIX2)=2(Zs, X1 X2)” =2(Zs, XI) NE(Zs ,Xs) n=l 

如 果 z(T ,XiXs*) 不 是 单位 元 , 则 工 包 含 Gu 中 的 元 素 , 即 工 是 取 自 G 的 。 因 为 如 果 
T=Z,2Z2Z, , 则 T?= Zh Zh ,ê(T*,X, X2) =ê(Z:Z;, Xi X2)” =E(Zz X) Al, 

第 二 种 情况 可 以 通过 计算 测试 (Xi X) RX, X 是 否 为 单位 元 ,判断 第 二 种 情 
况 是 否 发 生 。 假 如 已 经 排除 了 第 一 种 情况 ( 即 a 隆 p, HbA pL) ,并 且 以 上 两 个 都 不 是 单 
位 元 , 则 说 明 第 二 种 情况 已 经 发 生 。 可 以 通过 计算 测试 g 和 g* 中 哪 一 个 是 单位 元 ,以 
此 判断 a Alb 哪 一 个 等 于 p1ps。 不 失 一 般 性 ,假设 g FE BALTIC a= p b= pips A 
后 ， 可 以 通过 计算 测试 T* 是 否 为 单位 元 ,而 判定 全 是 否 包含 G,, 中 的 元 素 。 如 果 T 不 
是 单位 元 , 则 本 包含 Gs, 中 的 元 素 , 即 是 取 自 G 的 。 否 则 是 取 自 Gj, 的。 

第 三 种 情况 : 当前 两 种 情况 的 测试 都 没有 通过 时 ( 即 aA pi aA p, HbA, Ap), 

可 以 断定 第 三 种 情况 已 经 发 生 。 它 可 以 通过 测试 Xf 和 Xs 哪 一 个 是 单位 元 而 得 知 a 和 
b 中 哪 一 个 等 于 ps。 不 失 一 般 性 ,假设 XG 是 单位 元 , 则 a= ps;。 此 时 ， 可 以 通过 测试 
AT ,YasYs) 是 否 为 单位 元 而 判定 TAA AAG, 中 的 元 素 。 如 果 e(T*,Y。Y;) 不 是 单位 
元 , 则 工 包 含 Gu 中 的 元 素 , 即 TRAG. BU TERA G h 

3 种 情况 每 种 发 生 的 概率 至 少 为 1/3, 所 以 以 /3 的 优势 攻破 假设 2 。 

GIH 4-3 证 毕 ) 

引 理 4-4 如 果 存 在 攻击 者 ,能 以 的 优势 区 分 Exp。 和 Expresa , 则 存在 敌手 ,能 
以 的 优势 攻破 假设 1。 

证 明 : 已 知 D=(Q,g,X;) 和 耳 ， HE TÆR AG, p BERAG, 。 

模拟 与 之 间 的 交互 式 游戏 Expo R Expresia 按照 如 下 方式 设 定 公开 参数 , 随 
机 选取 wa,bp<RZN, 设 5 一 gu 一生 人 一 于 ,将 公开 参数 (Nu ge helg ge) RIER 。 
当 进行 ID, 的 秘密 钥 提 取 询 问 时 ， 选 取 随机 元 素 risti wie Zy , 令 
Kı 一 85XS， Ko 一 g* (uh yixh 
向 发 送 两 个 消息 M M 和 一 个 挑战 身份 ID。 随机 选取 Be (0.1), AE ANF 
密 文 : 
C* = (Cs = Mp &(T,g)*,C, = T™*,C, = T) 

如 果 TE Gs , , 则 该 密 文 是 一 个 半 功 能 的 ,相应 的 随机 指数 值 >. 二 aID 十 5。 注 意 到 
ze BE pa 的 值 与 a.b 模 pi 是 相互 独立 的 ,所 以 这 个 密 文 的 构成 是 符合 要 求 的 。 如 果 TE 
G,, , 则 该 密 文 是 正常 的 。 因 为 能 以 的 优势 区 分 Expy 和 Expresricca ,如 果 认为 模拟 的 
是 Expy W C 应 是 半 功 能 的 ， 则 认为 TE Gs,。 如 果 认为 模拟 的 是 Expressed » 
WC 应 是 正常 的 ， 则 认为 TEG，。 因 此 ， 可 以 根据 的 判断 区 分 T 的 两 种 不 同 
情况 。 

( 引 理 4-4 证 毕 ) 

引 理 4-5 ”假设 存在 一 个 攻击 者 .能 以 的 优势 区 分 Exp, 和 Exp. UE ， 
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能 以 的 优势 攻破 假设 2。 
证 明 : 已 知 D=(Q,g,X1Xs,X3,Y2aYs) 和 人 丁 ， Hit TARMAC AER HA Ga 。 
模拟 与 之 间 的 交互 式 游戏 Exp, BK Exp A F: 随机 选取 a,a,b<—RZy EAH 
BRM. g=g.u=g' h=g’.é(g.g) ,将 其 发 送 给 。 
对 身份 ID; 进行 密 钥 提取 询问 。 
当 i<k 时 ， 按 照 如 下 方式 构造 半 功 能 密 钥 : 选取 随机 元 素 x; ,ti ,zi 一 RZn ,计算 
K, = gi Yt Ky = g ak) (Y2Y3)% 
该 密 钥 是 半 功 能 的 ,其 中 =e. h PARRET Ae z Bp. 与 模 ps 的 值 是 相互 
独立 的 。 
当 ik 时， 按照 如 下 方式 构造 正常 密 钥 : 随机 选取 risti wie Zy ,计算 
K, = giX}, Kz = gt(uMh)iX¥ 
4i=kit, & zi 二 aIDi 十 6b, 随 机 选取 wr Zy ,计算 
K; =T; i dD 
秘密 钥 询问 结束 后 ， 向 发 送 两 个 消息 M, M 和 一 个 挑战 身份 ID。 随机 选取 
PR{0,1) ,生成 如 下 密 文 ， 
《三 
其 中 g*=X,.z.=alD+b. HF fOD) =alD+5 在 模 p, 下 关于 ID 是 一 个 两 两 相互 独立 
的 函数 。 对 来 说 , 当 1D, AID mod ps 时 ,z, 和 xx* 是 相互 独立 并 且 随 机 分 布 的 。 如 果 
ID; 二 ID mod pz +S X$ ID, 所 进行 的 秘密 钥 询 问 是 不 合理 的 。 这 也 是 对 模 数 进行 额外 限 
制 的 原因 。 
尽管 x 和 xx 对 来 说 是 隐藏 的 ,但 这 两 者 之 间 的 关系 是 非常 重要 的 。 如 果 打算 判 
WEH k 是 否 为 半 功 能 的 , 它 按照 上 述 方法 为 ID; 生成 半 功 能 密 文 ,并 用 密 钥 解密 该 密 
文 。 但 如 果 x. 二 <, 解密 会 无 条 件 成 功 。 换 句 话说 产生 的 & 只 能 是 名 义 上 半 功 能 的 。 
如 果 TE G6 », W 模拟 的 是 游戏 Exp... WR TEG , 则 模拟 的 是 游戏 Exp;。 因 
此 ， 可 以 根据 的 判断 ( 模拟 的 是 Exp, 还 是 Expy.) KA 工 的 两 种 不 同情 况 。 
( 引 理 4-5 证 毕 ) 
引 理 4-6 ”如 果 存 在 一 个 攻击 者 ,能 以 的 优势 区 分 Expr 和 Exp,, 则 存在 敌手 ， 
能 以 的 优势 攻破 假设 3。 
证 明 : D 二 (0Q,g,g*Xs,Xs,g'Ys,Zs) 和 耳 ， 判断 本 是 等 于 Ee(g,g)" 还 是 取 自 Gr 的 随 
机 数 。 模拟 与 之 间 的 交互 式 游戏 Exp, 或 Exprinnm 如 下 : 随机 选取 a,b<—pZy EA 
BR. g=giu=g* h=g’ ,El(g,g)* 二 Ee(g*Xs,g) 将 其 发 送 给 。 当 对 身份 ID; 进行 密 钥 
提取 询问 时 ， 按 照 如 下 方式 构造 半 功 能 密 钥 。 选 取 随 机 指数 cori sti swi Vi RZ E 
K, = ps Ky = g*X2(u™h)Zy X¥i 
秘密 钥 询问 结束 后 ， 向 发 送 两 个 消息 M M 和 一 个 挑战 身份 ID。 随机 选取 
pe{0,1) ,生成 挑战 密 文 : 
(G= M TO= eya = Y 
其 中 ze=alD+b, EER z 的 值 仅仅 与 其 模 po 的 值 相关 ,而 u= g h= g 都 是 群 G。 
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中 的 元 素 , 所 以 当 a 和 2 都 是 在 模 N 下 随机 选取 的 , 则 z. =(alD+b)mod p: 和 a mod pi， 
b mod pı 是 相互 独立 的 。 

如 果 T==2(g,g)”, 则 该 密 文 是 对 应 于 明文 Ms 的 半 功 能 密 文 ， 模 拟 的 是 Exp,。 如 
果 工 是 Gr 中 的 随机 元 素 , 则 该 密 文 是 对 应 于 某 个 随机 消息 的 半 功 能 密 文 ， 模 拟 的 是 
Exprwma。 因 此 ， 可 以 根据 的 输出 值 区 分 T 的 两 种 不 同情 况 。 

GIM 4-6 证 毕 ) 

由 引 理 4-3 至 引 理 4-6,Expren 与 Exprinn 是 不 可 区 分 的 ,而 在 Expru 中 ,8 对 于 来 说 
是 信息 论 隐藏 的 ,所 以 攻击 方案 时 ,优势 是 可 忽略 的 ,由 此 得 以 下 定理 。 

定理 4-10 如果 假 设 1 假设 2 和 假设 3 成 立 , 则 基于 对 偶 系 统 加 密 的 IBE 是 CPA 
安全 的 。 
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扩展 4.6.3 WH IBE 方案 ,可 以 得 到 一 个 密 文 长 度 较 短 的 HIBE 方案 。 方 案 中 不 使 
用 密 文 标签 ,有 助 于 将 密 文 压缩 为 固定 个 数 的 群 元 素 , 而 且 也 可 以 在 密 钥 委派 过 程 中 对 密 
钥 进 行 再 随机 化 。 构 造 中 需要 再 次 用 到 合 数 阶 群 , 利 用 Gv 中 的 元 素 对 密 钥 进行 随机 化 。 
Gy, 仍然 是 一 个 半 功 能 空间 ,不 在 真实 方案 中 使 用 。 
WG FEB N= pi pops 的 双 线 性 群 ,其 中 pi pov ps 是 3 个 不 同 的 素数 ,Gs Gp, 和 
Gy, 表示 群 G 中 阶 分 别 为 pi po 和 ps 的 子 群 ,b 表示 HIBE 方案 的 最 大 分 级 深度 。 
(1) 初始 化 。 
Zloty s**t sue rG, ; 
X: RG, 3 
a ARZN; 
params = (N,g,hsu»s** sus X3.ê(g»g)°) msk = a. 
(2) 加 密 (用 接收 方 的 身份 全 = CID, . ID, ID) E (Zn)’ 作为 公开 钥 , 其 中 ME 
Gr). 
S<RZy3 
Co = Me &(gog)™ Cy = (uPi euh) Ce = g's 
CT =t656,5C). 
(3) 密 钥 产生 (其 中 仿 = AD, ,ID, ,…,1D;) E (Zw)7)。 
IBEGen(ID, msk): 
r RZLN; 
(Rs ,Ra ,Rh sR) < 一 Go 
Ky = g'R; Ka = g° (uP -uh YR’, Eja = Wa Ry tt Ex = wR,; 
K = (K, ,K2,E;n Ey). 
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(4) BIR. BARHAD; = CID, ID, ID) EZ; 对 应 的 秘密 钥 开 "一 (K1 ， 
K}, E 1 E) ,生成 请 = CID, ,ID, ,… ,ID ) 的 秘密 钥 。 
Delegate(K' ,ID): 
RZN; 
Rs =rG,, + 
K, = Kig’Rs; 
Ke = Ki (uP eh)” (Epa) P WOR 
Ez = E}s2ufeR jz tt Ex = Eu; Re; 
K = (Kis Ke Ear Ey). 
这 个 新 密 钥 是 完全 随机 的 : 它 与 父 节点 密 钥 仅 通过 ID, ID, ,… ID; 的 值 相 联系 。 
(5) 解密 (其 中 K= (Ki,Kz,En,%…,E),CT= (Co ,C1,C,))。 
Ty 
: (oF 
is @(K2+Cy) 
ECK Cy) 
这 是 因为 
e(K。,Cz) é(g.g)" EuP uPih og)” 
é(K;,C,) Cut uh sg)” 

证 明 HIBE 方案 的 安全 性 ,仍然 需要 利用 4. 6. 2 节 中 的 3 个 静态 假设 。 半 功能 密 文 
和 半 功 能 密 钥 按 如 下 方式 产生 ,它们 不 在 真实 加 密 系 统 中 出 现 , 仅 用 来 完成 方案 的 安全 性 
证 明 。 

© 半 功 能 密 文 。 设 go 是 子 群 Gu 的 生成 元 ,利用 加 密 算法 生成 正常 的 密 文 (C4,C1， 

C2)。 选 取 随 机 指数 x, zer Zy ,构造 
C=C, Ci = Cigi» Ci = Cgi 
(Co Ci ,Cs ) 即 为 半 功 能 密 文 。 
© 半 功 能 密 钥 。 利 用 密 钥 产 生 算法 生成 正常 的 密 钥 CK1,K2,E' ,El)。 选 取 随 
机 指数 Vo zro Zj+i ott ozet RZN ,构造 
K, = Kig}, K: = Ksgr, Em = Ej gyn sy Ey = Eg} 
(Ky Ka ,Er1,… ,EE,) 即 为 半 功 能 密 钥 。 

注意 ,在 使 用 半 功 能 密 钥 解密 半 功 能 密 文 时 ,会 产生 额外 的 盲 化 因子 6 (gs， 
gP, WR x 二 zx. ,解密 可 以 成 功 , 称 这 样 的 半 功 能 密 钥 是 “名 义 上 ” 半 功 能 的 。 

下 面 利用 一 系列 游戏 的 混合 论证 方式 完成 证 明 。 称 第 一 个 游戏 为 Expres EEK 
的 游戏 。 称 第 二 个 游戏 为 Exprew , 它 与 真实 游戏 的 区 别 在 于 攻击 者 所 有 的 密 钥 询问 都 是 
由 密 钥 产生 算法 计算 并 回答 的 。 这 就 意味 着 ,挑战 者 不 会 遇 到 密 钥 委派 询问 的 情况 。 

称 第 三 个 游戏 为 Expkeuiea , 它 与 Expres 的 区 别 在 于 攻击 者 进行 密 钥 询问 的 身份 不 
能 是 挑战 密 文 所 对 应 身份 的 模 g 前 级 。 在 后 面 的 游戏 中 ,将 保留 这 个 更 加 严格 的 限制 。 
H q 表示 允许 攻击 者 进行 密 钥 提取 询问 的 次 数 。 对 于 0 和 g 之 间 的 ,定义 Exp, WE: 
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Exp, 与 Expresrieea 类 似 ,区 别 在 于 攻击 者 得 到 的 挑战 密 文 是 半 功 能 的 ,并 且 前 & 次 密 
钥 询 问 的 返回 结果 都 是 半 功 能 的 。 其 余 密 钥 询 问 的 返回 结果 都 是 正常 的 。 
在 Exp。 中 ,所 有 密 钥 询 问 的 返回 结果 都 是 正常 的 ,只 有 挑战 密 文 是 半 功 能 的 。 在 
Exp, 中 ,挑战 密 文 和 所 有 密 钥 询问 的 返回 结果 都 是 半 功 能 的 。 
最 后 一 个 游戏 是 Expro E Exp, 类 似 ,区 别 在 于 攻击 者 所 得 到 的 挑战 密 文 是 一 个 
对 随机 消息 的 半 功 能 加 密 结果 ,而 不 是 由 攻击 者 所 选取 的 两 个 消息 的 加 密 。 引 理 4-7 至 
引 理 4-11 证 明 各 个 相 邻 的 游戏 是 不 可 区 分 的 。 整 个 证 明 过 程 与 4.6.3 节 的 IBE 方案 的 
证 明 类 似 。 
引 理 4-7 对 于 任意 攻击 者 ,Exprew 和 Exprew 是 不 可 区 分 的 。 
证 明 : 两 个 游戏 中 , 密 钥 的 分 布 是 相同 的 (不 管 是 利用 密 钥 委派 算法 生成 密 钥 ,还 是 
利用 密 钥 产生 算法 生成 密 钥 ) 。 因 此 ,在 攻击 者 看 来 ,这 两 个 游戏 之 间 是 没有 任何 区 别 的 。 
引 理 4-8 如果 存 在 敌手 ,能 以 的 优势 区 分 Expres 和 EExprewioes ， 则 存在 敌手 ,能 
以 /2 的 优势 攻破 假设 1 或 假设 2。 
WEAR: 与 引 理 4-7 的 证 明 相同 。 
引 理 4-9 如 果 存 在 敌手 ,能 以 的 优势 区 分 Expo 和 Expresiaea , 则 存在 敌手 ,能 以 
的 优势 攻破 假设 1 。 
证 明 : BA D=(Q.g.X,) MT, HK TER HG, s BERAG, o 
模拟 与 之 间 的 交互 式 游戏 Expo 或 Ex Prerio 按照 如 下 方式 设 定 公开 参数 , 随 
机 选取 指数 asai ,…,qa,pARZN , 设 g= gu =g% ASISO AM h= gt MN, gust stes 
hh,eE(g,g)") 作 为 公开 参数 发 送 给 攻击 者 。 当 进行 (ID ,1D;,…,ID,) 的 密 钥 提 取 询 问 
时 ， 随 机 选取 指数 六 tw jt RLN ,计算 并 返回 
Kı = 9'Xh. Ki = gt(uPieeuPhyX$. En = ul XE, = u;X% 
向 发 送 两 个 消息 Mo。、M， 和 一 个 挑战 身份 (ID ,ID; ,…,ID? ) 时 ， 随 机 选取 
pg{0,1}) ,计算 挑战 密 文 : 
(G = Msele = IM Cc, = T) 
这 意味 着 已 将 工 中 的 Gn BARBY gt, WR TEG, , 则 以 上 挑战 密 文 是 半 功 能 
的 ,相应 地 <- 一 aID; 十 … 十 ajID? +b, WR TEG, , 则 以 上 挑战 密 文 是 正常 的 。 因 此 ， 
可 以 根据 的 输出 区 分 了 的 两 种 不 同情 况 。 
( 引 理 4-9 证 毕 ) 
引 理 4-10 ”假设 存在 一 个 攻击 者 .能 以 的 优势 区 分 Exp, 和 Exp... WERKE 
,能 以 的 优势 攻破 假设 2。 
证 明 : 已 知 D=(Q,g,XiX;,X;,YsYs) 和 了 ,判断 工 是 取 自 G 还 是 取 自 Gu o 
模拟 与 之 间 的 交互 式 游戏 Exp, 或 Exp, WF: 随机 选取 指数 asa, ,… sap .b<RZy ， 
设置 公开 参数 : g 一 g ,ui 一 g"* (1 二 i<0) ,hh 一 gt ,el(g,g)", 将 其 发 送 给 。 
对 身份 (ID ,ID, ,… ID HEITE i 次 密 钥 提取 询问 : 
Hick 时， 按照 如 下 方式 构造 半 功 能 密 钥 : 随机 选取 指数 ,zx,t, zj tret rZ 
算 并 返回 
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Ky =p Y) Ko = gt (uP uh) YY 
Ejay = ul (YoY) 50+ Ey = uf (Y2Y3)% 
这 是 一 个 正常 分 布 的 半 功 能 密 钥 ,其 中 gt = YS. 

当 i>k 时 ,调用 正常 的 密 钥 生 成 算法 生成 正常 的 密 钥 。 

4 i=k ht, 设 避 二 aIDi 十 … 十 ajID; 十 b, 选 取 随 机 指数 ww+i,…,w<RZw ,计算 
K,=T,K,=g°T*X% ,En= Tn Xg ee, E, = TUXY 

如 果 TEG, », , 则 这 是 一 个 正常 密 钥 ,其 中 g SFT WG, 部分。 如 果 TES , 则 这 
是 一 个 半 功 能 密 钥 。 

秘密 钥 询 问 结束 后 ， 选 取 两 个 明文 M, 和 M ,并 对 身份 (ID ,ID; ,…, ID} ) 进 行 挑 
战 询问 。 随机 选取 B< kx{0,1}) ,计算 挑战 密 文 如 下 : 

(Co = M (Xi Xe sg) = (XX) 9B 4G = Xi Xs) 

这 意味 着 将 g 设置 为 Xi IFA =a, IDS 十 … 十 ajID;? 十 6。 由 于 第 次 密 钥 提 取 询 
问 的 身份 不 能 是 挑战 询问 对 应 身份 的 模 ps 前 级 ,对 于 攻击 者 而 言 ,x 和 x。 是 随机 分 布 
的 。 尽 管 x 和 xz。 之 间 的 关系 对 于 攻击 者 是 隐藏 的 ,但 是 其 非常 重要 : 如 果 尝试 通过 自 
己 构造 对 应 于 相同 身份 的 半 功 能 密 钥 , 并 依据 其 对 密 文 进行 解密 是 否 通过 的 方式 来 测试 
第 个 密 钥 是 否 为 半 功 能 密 钥 时 ,由 于 zx, 二 x ,模拟 者 事实 上 只 能 生成 名 义 上 的 半 功 能 
密 钥 。 

如 果 TE G6, 则 正确 模拟 了 游戏 Exp. MR TEG , 则 正确 模拟 了 游戏 
Exp:。 因 此 ， 可 以 根据 攻击 者 的 输出 判断 相应 工 的 可 能 性 。 

( 引 理 4-10 证 毕 ) 

引 理 4-11 ”如 果 存在 一 个 攻击 者 ,能 以 的 优势 区 分 Exp, 和 Expriwa, 则 存在 敌手 ， 
能 以 的 优势 攻破 假设 3。 

证 明 : BA D=, gg Xo Xag Yo ZDM T, HE T EE TFE on RRA 
Gr 的 随机 数 。 模拟 与 之 间 的 交互 式 游戏 Exp, 或 Exprm 如 下 : 随机 选取 指数 a ,…， 
ab<RZN ,设置 公开 参数 : g=g ,ui 一 gi,h 二 g*,e(g,g)" 二 Ee(g"X,,g), 其 中 1<i<6l, 并 
将 这 些 参 数 发 送 给 攻击 者 。 当 对 身份 (ID, ,1D;,…,ID;) 做 密 钥 提 取 询 问 时 ， 按 照 如 
下 方式 构造 一 个 半 功 能 密 钥 : 随机 选取 指数 Carats W Zs Tt TH We RL» 
计算 并 返回 

Kı 一 g'Z4iX;, Kı 一 g°X2Zi uP euh) XY 
En = ujn Zn Xfm ee, E; = urZY XY 

当 选取 两 个 明文 M。、M, 和 身份 (ID; ,ID; ,…:,ID” ) 进 行 挑战 询问 时 ， 随 机 选取 

pB< ef{0,1} ,计算 挑战 密 文 如 下 : 

(Cy = MTG = (YMC = gY) 
此 时 设置 z. =a IDS 十 … 十 wID; +b. ERP xz。 的 值 仅 仅 与 其 模 p, 的 值 相关 ,ww = 
Bt ue =g" h=g* MEAG, 中 的 元 素 , 所 以 当 a saz sae 和 2 都 是 模 N 下 随机 时 ， 
z= [Di 十 … 十 ajID? +b $ p: 和 al,…,as,b 模 pi 是 相互 独立 的 。 

如 果 T=e(g,g)”“, 则 该 密 文 是 对 应 于 明文 Ms 的 一 个 半 功 能 密 文 。 如 果 本 是 Gr 中 
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的 随机 元 素 , 则 该 密 文 是 对 应 于 某 个 随机 消息 的 一 个 半 功 能 密 文 。 因 此 ， 可 以 根据 的 
输出 值 区 分 T 的 两 种 不 同情 况 。 

从 引 理 4-10 至 引 理 4-13, Exppea 49 Exprina 是 不 可 区 分 的 ,而 在 Exprau 中 ,8 对 于 来 
说 是 信息 论 隐 藏 的 ,所 以 攻击 方案 时 ,优势 是 可 忽略 的 ,由 此 得 以 下 定理 。 

定理 4-11 如 果 假 设 1 假设 2 和 假设 3 成 立 , 则 基于 对 偶 系 统 加 密 的 HIBE 是 CPA 
安全 的 。 


47 ”从 选择 明文 安全 到 选择 密 文安 全 





471 选择 明文 安全 到 选择 密 文安 全 的 方法 介绍 


抗 适应 性 选择 密 文 攻击 (CCA2) 的 公 钥 密码 体制 是 抗 主动 攻击 的 一 个 强 而 有 用 的 安 
全 性 定义 , 它 的 构造 通常 是 : 先 构 造 抗 适应 性 选择 明文 攻击 (CPA) 的 公 钥 密码 体制 ,然后 
再 将 其 转换 为 CCA2 安全 的 公 钥 密码 体制 ,如 4. 2.4 节 的 Fujisaki-Okamoto 转换 。 这 种 
两 阶段 方法 使 得 方案 的 安全 性 论证 变 得 容易 : 它 把 密 钥 提取 询问 作为 证 明 CPA 安全 的 
一 部 分 来 处 理 , 把 解密 询问 作为 证 明 CCA2 安全 的 一 部 分 。 然 而 Fujisaki-Okamoto 转换 
是 随机 论 言 机 模型 下 的 。 

在 标准 模型 下 构造 CCA2 安全 的 公 钥 加 密 体制 有 以 下 方法 : 

A) CPA 安全 的 PKE 方案 十 非 交 互 式 零 知 识 (NIZK) 证 明 系 统 ,如 2. 3 节 介 绍 的 
Naor-Yung 方案 以 及 Dolev, Dwork 和 Naor 给 出 的 改进 。 因 为 采用 了 NIZK 证 明 方 法 ， 
这 种 方案 效率 非常 低 。 

(2) Cramer 和 Shoup 使 用 平滑 哈 希 证 明 系 统 给 出 的 构造 外。 

(3) CCA 安全 的 KEM 十 CCA 安全 的 DEM" 。 

(4) 从 CPA 安全 的 IBE 转换 到 CCA 安全 的 公 钥 加 密 体制 0"!3。 

文献 [11] 利 用 Water 的 基于 身份 的 加 密 体制 中 ,其 中 密 文 只 有 3 个 元 素 ,前 两 个 元 素 
(Cy ,C1) 和 Water 的 方案 相同 (与 接收 者 的 身份 无 关 ) ,构造 第 三 个 元 素 时 ,由 (Co ,Ci) 经 
无 碰撞 的 哈 希 函数 PE BU w= HC ,Ci) 作 为 接收 者 的 身份 。 因 此 文献 [11] 的 方 
案 不 具有 一 般 性 。 本 节 介 绍 文献 [12] 给 出 的 从 CPA 安全 的 IBE 转换 到 CCA 安全 的 公 
钥 加 密 体 制 的 方法 , 称 为 CHK 方法 。 


472 CHK 方 法 


CHK 方法 是 Canetti, Halevi 和 Katz 提出 的 ,是 从 CPA 安全 的 IBE 加 密 方 案 转换 到 
CCA 安全 的 公 钥 加 密 方案 的 方法 ,方案 中 要 求 IBE 方案 是 选 定 身份 安全 的 , 即 允 许 敌 手 
在 获得 系统 公开 钥 之 前 ,适应 性 地 选择 一 个 意欲 攻击 的 “目标 身份 ”。 转 换 后 的 方案 是 标 
准 模型 下 CCA2 安全 的 。 
过 程 如 下 : 新 方案 的 系统 参数 简单 地 取 为 IBE 方案 的 系统 参数 , 主 密 钥 取 为 IBE 方 
案 对 应 的 主 密 钥 。 加 密 消 息 时 ,发送 方 首先 生成 一 次 性 强 签名 方案 的 一 对 密 钥 Cvk,sk)， 
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其 中 sk 是 签名 密 钥 ,vk 是 验证 密 钥 。 一 次 性 强 签名 方案 的 性 质 是 ,已 知 一 个 签名 ,产生 
新 的 签名 (即使 是 对 以 前 已 签 过 名 的 消息 ) 是 不 可 行 的 。 发 送 方 然后 使 用 vk 作为 身份 ( 即 
IBE 的 公开 钥 ) 对 消息 加 密 得 密 文 C。 再 用 sk 对 C 签名 得 到 c ,最 终 的 密 文 由 验证 公开 钥 
vk IBE 的 密 文 C 和 签名 o 组 成 。 接 收 方 对 密 文 (vk,C,o) 解 密 时 ,首先 使 用 vk 验证 密 文 
C 的 签名 c; 如 果 验 证 失败 则 输出 上 ;否则 , 先 由 IBE 方案 的 秘密 钥 产 生 算 法 生成 身份 vk 
对 应 的 秘密 钥 SKw ,然后 根据 IBE 方案 使 用 SKw 对 C 解密 。 

MÈ o FEC 的 一 个 合法 签名 ,我 们 就 说 密 文 (vk,C,o) 是 合法 的 。 方 案 的 CCA2 安全 
性 可 以 如 下 理解 : 假设 敌手 得 到 挑战 密 文 CT* = (vk* ,C* ,o* ), 可 以 对 任何 满足 条 件 
vkAvk* 的 合法 密 文 CT 二 (vk,C,o) (vk Avk* 意味 着 CTACT* ) 进 行 解密 询问 。 安 全 性 
证 明 的 关键 在 于 IBE 的 选 定 身份 的 安全 性 ,敌手 事先 选 定 vk* 后 ,对 C 的 解密 询问 对 于 
解密 挑战 密 文 CT* 没有 任何 帮助 。 

方案 的 具体 构造 : 设 I= (Init,IBEGen，，) 是 选 定 身份 攻击 下 CPA 安全 的 IBE N 
案 ,Sig 二 (SigGen,Sign,Vrfy) 是 一 次 性 签名 方案 ,其 中 SigGen(1 ) 输 出 的 验证 密 钥 长 度 
We). BER Sig 具有 强 的 不 可 伪造 性 ( 即 敌 手 不 能 伪造 签名 ,即使 是 对 已 经 签 过 名 的 
WA). tik CCA2 安全 的 公 钥 加 密 方案 下 一 (IBEGen' ，“， DWF: 

(1) 密 钥 产生 。 

IBEGen'(1 ) : 
(params,msk) < Init ,6,( )). 
(2) 加 密 。 
‘MW: 
(vk,sk) < SigGen(1 )(| vk |= 6,( )); 
C< w(params,M); 





o < Signy (C); 
输出 CT = (vk,C,o). 
(3) 解密 (其 中 CT= (vk,C,0))。 
‘(yksC,0): 
如 果 Vrfyw(C,c) #1380 | ;否则 继续 ; 
SK < IBEGenms (vk); 
返回 s, (O. 
首先 直观 地 说 明 为 什么 Ii CCA2 安全 的 。 在 安全 性 游戏 中 , 设 挑战 密 文 为 (vk*， 
C* ,ao* ) ,在 没有 解密 询问 时 ,比特 8 的 值 对 敌手 是 隐藏 的 ,这 是 因为 C* 是 由 CPA 安全 的 
荆 输 出 的 ,vk* 独立 于 消息 ,而 o" 仅仅 是 对 C* 签名 后 的 结果 。 
敌手 通过 解密 询问 对 猜测 8 的 值 也 没有 帮助 。 一 方面 ,如 果 敌 手提 交 了 与 挑战 密 文 
不 同 的 密 文 (vk'.C',o ) 但 vk'=vk* ,那么 解密 论 言 机 将 以 上 应 答 ,因为 敌手 无 法 伪造 一 
个 关于 vk 的 新 的 有 效 签名 。 另 一 方面 .如 果 vk' Avk* ,解密 询问 对 敌手 也 没有 帮助 , 因 
为 最 终 是 对 一 个 不 同 于 vk” 的 身份 vk' 使 用 “( 在 方案 下 中) 解密。 
EH 4-12 ”如果 工 是 选 定 身份 攻击 下 CPA 安全 的 IBE 方案 ,Sig 是 强 不 可 伪造 的 一 
次 性 签名 方案 ,那么 下 是 CCA2 安全 的 PKE WR. 
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具体 来 说 ,假设 有 一 个 PPT 敌手 以 :( ) 的 优势 攻击 区 的 CCA2 安全 性 ,以 ,( ) 的 
优势 攻击 Sig 的 强 不 可 伪造 性 ,那么 存在 PPT 敌手 ,以 至 少 ;( )(1 一 ,( )) 的 优势 在 选 
定 身份 攻击 下 攻击 芽 的 CPA 安全 性 。 

证 明 : 设 挑战 者 建立 方案 了 ,公开 params。 假 设 有 PPT 敌手 攻击 下 的 CCA2 安全 
性 ,那么 能 构造 一 个 PPT 敌手 ,以 作为 子 程序 ,在 选 定 身份 下 攻击 荆 的 CPA 安全 性 。 

设 (vk" ,C* ,o* FE 接收 到 的 挑战 密 文 ,Forge 表示 事件 : ”输出 密 文 (vk" ,C,o), 其 
中 (C,o) 关 (C* ,o* MAZE Vrfyw* (C,o) 二 1。Pr[Forge] 等 于 攻破 签名 方案 Sig 的 概率 ， 
因为 Sig 是 强 不 可 伪造 的 一 次 性 签名 方案 ,所 以 Pr[Forge] 是 可 忽略 的 。 

的 构造 如 下 : 

(1) A 420 )) 运 行 SigGen(1 ) 产 生 (vk* ,sk* ) ,输出 目标 身份 ID" =vk*。 以 
1 和 params 运行 。 

(2) 做 Cvk,C,o) 的 解密 询问 时 ， 如 下 应 答 

。 若 Vrfyw(C,o) 天 1, 则 以 上 应答。 

。 若 Vrfya(C.o)=1 A vk=vk* ( 即 事件 Forge 发 生 ), 则 终止 并 输出 一 个 随机 

比特 。 

。 若 Vrfyw(C,o) 一 1 A vkÆvk* , 则 向 挑战 者 做 密 钥 产生 询问 IBEGenns (vk) , 获 

得 SKw ,然后 计算 M— sk CC) 并 向 返回 M。 

(3) 输出 两 个 等 长 的 消息 M.M. Ki MM 给 挑战 者 ,挑战 者 为 产生 挑战 密 文 
Ct, HFE o =Signys (C* ) 并 将 (vk* C ,o* ) 作 为 挑战 密 文 返回 给 。 

(4) 继续 向 做 解密 询问 ， 应 答 如 前 (注意 不 能 对 挑战 密 文 本 身 进行 解密 询问 ) 。 

(5) 输出 一 个 猜测 6， 也 输出 8 。 

如 果 Forge 不 发 生 , 则 对 做 的 解密 询问 的 应 答 是 有 效 的 ,所 以 有 以 下 断言 。 

断言 4-8 在 以 上 过 程 中 ,如 果 Forge 不 发 生 , 则 的 模拟 是 完备 的 。 

记 成 功 ( 即 8'=B) 的 概率 为 Pr[ ], 则 成 功 ( 即 8 一 B) 的 概率 为 Pr[ ]=Pr[ | 
Forge]Pr[Forge] 十 Pr[ |Forge]Pr[Forge]。 若 Forge 发 生 ， 在 第 (2) 步 终止 游戏 ， 只 


能 随机 猜测 8 ,所 以 Pr[ |Forge] 一 去。 因此 
Pr ]= Pr[ | Forge]Pr[Forge]+ PrO | Forge]Pr[Forge] 
一 去 [1 一 Pr[Forge]] + PrE | Forge]Pr[ Forge] 
所 以 的 优势 为 
Advr ( )= 





z PrL | Forge ]Pr[ Forge ] 一 $Prl Forge] 








Prl 1-3|- 





= | [Prt | Forge] — z] Pr[ Forge] 


= Advr, ( )(1— Pr[ Forge ]) 
= 1( )(1— 2C )) 





GEM 4-12 证 毕 ) 
简单 地 修改 上 述 方案 ,能 得 到 一 个 CCAL 安全 的 方案 : 用 一 个 随机 选择 的 比特 串 
166 


mn 第 4 章 基于 身份 的 密码 体制 mm 


r<R{0,1} 代替 vk( 不 做 签名 ) ,用 作为 身份 加 密 消息 得 到 C, 密 文 是 (r,C)。 因 为 敌手 
无 法 提前 猜测 发 送 者 使 用 的 ,所 以 用 以 上 论证 方法 能 证 明 该 方案 是 CCA1 安全 的 。 

文献 [13] 通 过 使 用 MAC 而 不 是 一 次 性 签名 方案 改进 了 上 述 方案 的 效率 。 但 改进 方 
案 的 缺点 是 接收 方 也 需要 知道 MAC 的 验证 密 钥 。 


473 CCA 安 全 的 二 叉 树 加 密 


1. 二 叉 树 加 密 

二 又 树 加 密 (Binary Tree Encryption,BTE) 方 案由 Canetti, Halevi 和 Katz 给 出 529 ， 
可 以 看 作 是 HIBE 方案 的 变 体 : 在 BTE 方案 中 ,每 个 节点 都 有 两 个 孩子 节点 (标记 为 “0” 
和 “1”) ,而 HIBE 方案 中 ,每 个 节点 都 有 任意 数量 的 孩子 节点 , 且 孩 子 节点 可 用 任意 的 字 
符 串 标记 。 虽 然 BTE 方案 看 似 比 HIBE 方案 弱 ,但 如 果 BTE 方案 的 树 的 深度 是 安全 参 
数 的 多 项 式 ,那么 就 可 以 用 它 来 构造 HIBE 方案 (或 者 IBE 方案 ) 。 

定义 4-6 BTE 方案 由 以 下 4 个 算法 组 成 ， 

(1) 初始 化 Init。 为 随机 化 算法 ,输入 安全 参数 和 树 的 最 大 深度 2, 输出 系统 参数 pk 
和 主 密 钥 (也 称 为 根 密 钥 )sk 。 

(2) 密 钥 产生 BTEGen。 为 随机 化 算法 ,输入 系统 参数 pk .节点 we (0.1) HRT 
应 的 秘密 钥 sk ,输出 w 的 两 个 孩子 节点 的 秘密 钥 sku, 、skw o 

(3) 加 密 。 为 随机 化 算法 ,输入 消息 M、 系 统 参 数 pk 以 及 节点 we {0,1}< ,输出 密 
文 CT, 记 作 CT< w(w,M) 。 

(4) 解密 。 为 确定 性 算法 ,输入 节点 wE (0,1) w 对 应 的 秘密 钥 ske 以 及 CT, 输 
出 消息 M 或 者 终止 符 上 , 记 作 M< w (w,CT)。 

要 求 : 对 Init 产生 的 任意 (pk,sk ) , 任 一 zzE10,1)< 及 其 对 应 的 秘密 钥 sk, ,消息 
M, 以 及 p(w,M) 产 生 的 密 文 CT, 有 关系 x (w,CT) 一 M。 

下 面 是 BTE 机 制 安全 游戏 。 

(1) 敌手 (1 A )) 声 称 意欲 挑战 的 节点 w" (0.15, 

(2) 初始 化 Init(] ,L(k))。 由 挑战 者 运行 ,产生 系统 参数 pk 和 主 密 钥 sk ,并 将 pk 
给 敌手 。 另 外 ,算法 BTEGen 产生 由 根 节点 到 w" 的 路 径 P 上 所 有 节点 对 应 的 秘密 钥 以 
及 w* AWE |w | 二 4) 的 两 个 孩子 节点 的 秘密 钥 , 将 以 下 形式 的 所 有 w 对 应 的 秘密 钥 
{skw) 发 送 给 : 

。，w 二 wb ,wb 是 w" 的 前 级 ,bE 10,1)( 即 ww 是 P 上 某 个 节点 的 兄弟 节点 )。 

. w=w" 0 或 者 ww 二 w" 1( 即 w E w’ 的 孩子 节点 ,假设 |w* |<. 

注意 ,按照 这 种 方式 ， 可 得 到 w 的 任何 非 前 级 节点 w E {0,1}<“9 对 应 的 秘密 
$H skw o 

(3) 挑战 。 提交 两 个 长 度 相等 的 消息 M AM 。 挑 战 者 选择 随机 数 B<-k{0,1) ,以 
w 加密 M, ,将 密 文 C" pw ,Mp) 给 。 

(4) 猜测 。 输出 猜测 BE (0.1) ,如 果 8 一 8. 则 攻击 成 功 。 

的 优势 定义 为 安全 参数 的 函数 : 
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定义 4-7 如果 对 于 所 有 多 项 式 界 的 函数 L(，) ,任意 PPT 敌手 赢得 上 述 游戏 的 优 
势 是 可 忽略 的 , 则 称 BTE 方案 是 选 定 节点 攻击 下 CPA 安全 的 ,简称 为 SN-CPA 安全 的 。 
上 述 定义 可 以 很 自然 地 扩展 到 CCA 安全 的 定义 , 称 为 选 定 节点 攻击 下 CCA 安全 
的 ,简称 为 SN-CCA 安全 的 : 在 上 述 游戏 中 允许 对 解密 论 言 机 进行 询问 ， 如 下 应 答 ， 
输入 (w,CT) ,首先 计算 w 对 应 的 ske (使 用 sk 并 重复 调用 BTEGen) ,然后 输出 M< a, 
(Co,CT)。 敌 手 在 整个 游戏 中 都 能 询问 解密 论 言 机 ,但 是 在 收 到 挑战 密 文 C* 后 ,不 能 进 
行 Cw" ,C* ) 的 询问 。 注 意 ,只 允许 敌手 对 满足 mw 天 ww" 的 w 进行 Cw, C ) 询 问 , 对 满足 
CTAC* 的 CT 进行 (tw* ,CT) 询 问 。 
2. CCA 安全 的 BEAR 
使 用 4.7.2 节 的 方法 可 以 从 任意 一 个 SN-CPA 安全 的 BTE 方案 构造 一 个 SN-CCA 
安全 的 BTE 方案 : 将 每 个 节点 的 每 个 子 树 看 作 是 一 个 (H)IBE 方案 ,对 这 些 子 树 使 用 
4.7.2 节 的 方法 。 先 看 一 个 较 简 单 的 情况 ,其 中 只 允许 对 固定 深度 4 的 节点 加 密 (在 完全 
的 BTE 方案 中 允许 对 所 有 深度 和 4 的 节点 加 密 )。 为 了 使 用 w 加 密 消息 ,发 送 者 产生 一 
次 性 签名 方案 的 密 钥 对 (vk,sk) ,使 用 节点 w|vk 加 密 消息 M 获得 密 文 C, 使 用 sk 对 C 签 
名 得 到 o, 最 终 密 文 为 (vk,C,o)。 接 收 者 车 拥有 节点 w 对 应 的 秘密 钥 sk ,在 收 到 密 文 
(vk,C,o) 后 ,首先 使 用 vk 验证 签名 是 否 正确 。 如 果 正 确 , 重 复 应 用 BTEGen 算法 计算 
skui (接收 者 自己 进行 ) ,然后 使 用 该 密 钥 解密 C 得 到 M。 与 4.7.2 节 的 方法 一 样 ,直观 
上 看 ,即使 敌手 能 够 获得 多 个 节点 w | vk 对 应 的 秘密 钥 , 只 要 (w ,vk A Cw vk) EA 
点 w|vk 加 密 是 安全 的 。 因 为 前 面 假设 加 密 是 在 固定 深度 4 进行 的 ,所 以 w |vk' 不 能 是 
w | vk 的 前 级 ,敌手 仅 能 获得 由 节点 w |vk 加 密 的 密 文 , 而 不 能 获得 关于 节点 wl vk 的 密 
文 , 除 非 它 能 伪造 一 个 关于 vk 的 新 签名 。 
将 固定 深度 的 方案 推广 到 一 般 形式 ,必须 解决 的 关键 问题 是 节点 名 称 的 编码 ,例如 ， 
要 确保 wl|vk 不 能 与 男 一 节点 w 映射 到 同一 个 节点 。 一 个 简单 的 方法 是 将 w= w wr 
w, 编码 为 Lw lwo lw, ,然后 将 wl vk 编码 为 1wi1ws…1w,0|vk。 下 面 详细 描述 完整 的 
构造 。 
设 瑟 =(Init,BTEGen，，) 是 SN-CPA 安全 的 BTE HŽ .Sig= (SigGen, Sign, Vrfy) 
是 一 次 性 签名 方案 ,其 中 由 SigGen(1 ) 产 生 的 验证 密 钥 长 度 为 4,( )。 定 义 w 的 编码 函 
数 Encode 4 F ; 
， 如 果 w= 
Encodelw) = es WR w= www (HP w € {0,1)) 
|Encode(w) | =2|w| 。 
SN-CCA 安全 的 BTE NR I =(nit'.BTEGen’. ’. At : 
(1) 初始 化 。 
Init’ ,0): 
(pk,sk ) < Init .2¢+4( ) 十 1). 
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(2) RAFE. 
BTEGen'(w.sk,,): 
w = Encode(w); 
sk = BTEGeng, (w’); 
Ckir eskun) < BTEGenw (w1); 
ska = skiossko = skyns 
输出 (skwo oskur). 
注意 w 10=Encode(w0) ,w’ 11=Encode(wl) , 
直观 上 PEA w 对 应 五 中 的 节点 w = Encode Cw), W) w OT 中 ) 的 秘密 钥 
sku 对 应 w ( 卫 中 ) 的 秘密 钥 skuo PEL, H TÆR T P w 的 孩子 节点 ( 即 w0 Al wl) AY BE 
密 钥 , 必 须 生成 荆 中 ww' 的 右 孙 子 节点 对 应 的 秘密 钥 。 
(3) 加 密 ( 其 中 节点 we (10,1}s“) 。 
‘MW: 
(vk,sk) = SigGen(1 )(| vk |= 6,( )); 
w = Encode(w); 
C= „(w |0| vk,M); 
o = Signy (C); 
输出 CT = (vk,C,o). 
其 中 C= Cw" 101vk,M) 表 示 在 工 中 使 用 节点 w |0| vk 加 密 消 息 M。 
(4) 解密 (其 中 CT= (vk,C,0))。 
‘(vk,C,0): 
如 果 Vrfyw(C,o) 关 1, 返 回 | ;否则 继续 ; 
w = Encode(w); 
sky joie BTEGens, Cw’) 
返回 P CH 10 | vk,CT). 
Ske oie BTEGeng, (zw') 表 示 skwlolw 的 产生 需 重 复 应 用 BTEGen。 
$. 在 HIBE 方 案 中 ,将 身份 向 量 记 一 zol |e lw, BBA w = lw || lw, wl vk 
编码 成 身份 向 量 ww |0vk, 使 用 上 述 方 法 可 以 将 CPA 安全 的 HIBE 方案 转化 成 CCA 安全 
的 HIBE 方案 。 
定理 4-13 如果 五 是 SN-CPA 安全 的 BTE 方案 ,Sig 是 强 不 可 伪造 性 的 一 次 性 签名 
方案 ,那么 了 是 一 个 SN-CCA2 安全 的 BTE 方案 。 
具体 来 说 ,假设 有 一 个 PPT 敌手 以 ;( ) 的 优势 攻击 下 的 SN-CCA2 安全 性 ,以 
2( ) 的 优势 攻击 Sig 的 强 不 可 伪造 性 ,那么 存在 PPT 敌手 ,以 至 少 ;( )(1 一 ,( )) 的 
优势 攻击 I H SN-CPA 安全 性 。 
证 明 : 证 明 方法 与 定理 4-12 非常 相似 。 设 挑战 者 建立 方案 荆 , 公 开 pko A PPT 
敌手 攻击 区 的 SN-CCA2 安全 性 ,那么 能 构造 一 个 PPT 敌手 ,以 作为 子 程序 ,在 选 定 
节点 下 攻击 芽 的 CPA 安全 性 。 
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设 (vk* ,C* ,o* ) 是 接收 到 的 挑战 密 文 ,Forge 表示 事件 : 在 节点 w 下 输出 密 文 
(vk* ,C,0) ,其 中 (C,o) 关 (C* ,o* ) 但 是 Vrfyw* (C,o) 二 1。 如 果 允 许 在 接收 到 挑战 密 
文 前 在 节点 w 下 输出 密 文 (vk* ,C,c) , 则 不 要 求 (C,o) 关 (C* 0"). PrlForge]@F 攻 
破 签名 方案 Sig 的 概率 ,因为 Sig 是 强 不 可 伪造 的 一 次 性 签名 方案 ,所 以 Pr[Forge] 是 可 
忽略 的 。 

的 构造 如 下 : 

D (1 ,4 设置 6 二 (一 4.( ) 一 1)/2 并 运行 (1 ,Ll)。 输出 节点 w €(0,1}5 

设置 w 二 Encode(w" ) ,运行 SigGen(1 ) 产 生 (vk* ,sk* ) ,输出 节点 w* =w |0|vk* 。 
得 到 以 下 形式 的 所 有 节点 w 对 应 的 秘密 钥 {skc } : 

。 w= 二 vb ,其 中 ww fiw" “的 前 级 ,bE1{0,1)。 

. w=w" 0 RE w=w ‘1( 当 时 |w* |<), 

使 用 这 些 秘密 钥 ， 能 计算 期 望 得 到 的 所 有 秘密 钥 。 

(2) 做 节点 岂 下 Cvk,C,o) 的 解密 询问 时 ， 如 下 应 答 : 

如 果 Vrfyw(C,o) 天 1 ,那么 以 上 应 答 。 

如 果 w=w’. Vrfyy(C.o)=1 H. vk=vk* (ANSEF Forge 发 生 ) ,那么 终止 并 输出 一 
个 随机 比特 。 

ARM i W=Encode(w) ,因为 忆 |0|vk 不 是 w" “的 前 级 ， 能 使 用 步骤 (1) 中 获得 的 
秘密 钥 生 成 节点 wOl vk 对 应 的 秘密 钥 。 所 以 ， 能 计算 必要 的 秘密 钥 ,解密 C 并 将 结果 
返回 给 。 

(3) 输出 两 个 等 长 的 消息 MM. 将 MM 给 挑战 者 ,挑战 者 为 产生 挑战 密 文 
Ct. ito" =Signy: (C* ) 并 将 (vk* ,C" ,o' ) 返 回 给 。 

(4) 继续 向 做 解密 询问 ， 应 答 如 前 (注意 不 能 对 挑战 密 文 本 身 进行 解密 询问 ) 。 

(5) 输出 一 个 猜测 8 ， 也 输出 B。 

如 果 Forge 不 发 生 , 则 对 做 的 解密 询问 的 应 答 是 有 效 的 ,类 似 于 断言 4-8， 的 模拟 
是 完备 的 。 

的 优势 的 求法 与 定理 4-12 一 样 。 
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5.1 ”基于 属性 的 密码 体制 的 一 般 概念 





加 密 可 被 认为 是 加 密 者 与 接收 者 (用 户 或 设备 ) 共 享 数据 的 一 种 方法 ,但 仅 限 于 加 
密 者 明确 知道 他 想 要 共享 数据 的 用 户 。 在 许多 应 用 中 ,加 密 者 并 不 明确 知道 想 要 共享 
数据 的 用 户 。 例 如 ,加密 者 意欲 在 某 个 特定 时 间 段 与 具有 某 个 特定 IP 地 址 的 用 户 共享 
数据 ,加 密 者 就 必须 把 自己 的 秘密 钥 给 这 些 特定 的 用 户 。 这 种 共享 数据 的 方式 只 能 实 
现 * 一 对 一 ”的 加 密 , 因 而 是 粗 粒度 的 ,限制 了 加 密 者 以 细 粒 度 方式 和 其 他 用 户 共享 加 
密 数 据 。 基 于 属性 的 加 密 (Attribute-Based Encryption，ABE) 机 制 是 传统 公 钥 加 密 的 一 
种 延伸 ,由 Sahai 和 Waters 在 2005 年 欧 密会 上 提出 中 ,其 中 加 密 者 能 够 在 加 密 算法 中 
表达 他 想 要 如 何 分 享 数 据 , 他 可 根据 接收 用 户 的 凭证 制定 一 些 策略 ,并 根据 这 些 策略 
来 共享 数据 。 接 收 用 户 的 凭证 用 属性 集合 描述 ,属性 是 描述 用 户 的 信息 要 素 , 通 常 指 
用 户 本 身 所 拥有 的 特性 或 身份 标识 ,如 学 生 的 属性 可 包括 所 在 的 院 系 、 专 业 、 类 别 、 年 

基于 属性 的 加 密 机 制 又 分 为 基于 密 文 策略 的 属性 加 密 (Ciphertext-Policy Attribute- 
Based Encryption, CP-ABE) 和 基于 密 钥 策略 的 属性 加 密 (Key-Policy Attribute-Based 
Encryption, KP-ABE)。 在 CP-ABE 中 接收 者 的 密 钥 与 属性 集合 相关 联 , 而 密 文 则 包含 
该 属性 集 上 的 访问 策略 ,只 有 当 接 收 者 密 钥 所 关联 的 属性 集 满足 密 文 所 包含 的 访问 策略 
时 才能 解密 。KP-ABE 则 相反 , 密 文 包含 属性 集合 ,而 密 钥 则 与 该 属性 集合 的 访问 策略 相 
关联 ,只 有 当 密 文 的 属性 集合 满足 密 钥 所 关联 的 访问 策略 时 才能 解密 。 

IBE 方案 可 看 作 是 一 种 特殊 的 KP-ABE 方案 ,其 中 密 文 包含 的 属性 为 接收 者 的 身 
份 , 密 钥 所 关联 的 访问 策略 为 : 密 钥 的 属 主 身份 与 密 文 包含 的 接收 者 身份 一 样 时 ,可 以 
解密 。 

CP-ABE 方案 由 以 下 4 个 算法 组 成 : 

(1) 初始 化 。 为 随机 化 算法 ,输入 安全 参数 和 属性 总 体 的 描述 ,输出 系统 参数 
params 和 主 密 钥 msk。 表 示 为 (params,msk)< 一 Init( )。 

(2) 加 密 。 为 随机 化 算法 ,输入 消息 M、 系 统 参 数 params 以 及 属性 总 体 上 的 访问 结 
HWA ,输出 密 文 CT,CT 中 隐 含 地 包含 访问 结构 A 。 仅 当 接 收 方 拥有 满足 访问 结构 的 属 
性 集合 时 才能 解密 该 密 文 。 表 示 为 CT= aM). 

(3) 密 钥 产生 。 为 随机 化 算法 ,输入 系统 参数 params, EW msk 以 及 用 来 描述 密 
钥 的 属性 集 y, 输 出 会 话 密 钥 sk。 表 示 为 sk<ABEGen(7). 
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CD 解密 。 为 确定 性 算法 ,输入 系统 参数 params、 会 话 密 钥 sk( 属 性 集合 y 对 应 的 密 
钥 ) 及 密 文 CT( 包 含 访问 结构 A ) ,如 果 y 满足 访问 结构 A (表示 为 YE A ) ,解密 算法 将 解 
密 CT 并 返回 消息 M. RIRH M= (CT). 

CP-ABE 机 制 的 安全 模型 与 IBE 机 制 类 似 , 其 中 允许 敌手 对 任意 的 密 钥 (除了 用 来 解 
密 挑战 密 文 的 ) 进 行 询问 。 敌 手 会 选择 挑战 一 个 满足 访问 结构 A* 的 密 文 ,并 且 能 够 对 任 
何不 满足 访问 结构 A* 的 属性 集合 y 进行 密 钥 询问 。 记 CP-ABE WRH II KY IND 游 
戏 ( 称 为 IND-CP-ABE-CPA 游戏 ) 如 下 : 

(1) 初始 化 。 由 挑战 者 运行 ,产生 系统 参数 params 并 将 其 给 敌手 。 

(2) 阶段 1( 训 练 )。 敌 手 发 出 对 属性 集合 y 的 秘密 钥 产 生 询 问 。 挑 战 者 运行 秘密 钥 
产生 算法 ,产生 与 7 对 应 的 秘密 钥 d ,并 把 它 发 送 给 敌手 ,这 一 过 程 可 重复 多 项 式 有 界 次 。 

(3) 挑战 。 敌 手提 交 两 个 长 度 相等 的 消息 M 和 M, 。 此 外 ,敌手 选 定 一 个 意欲 挑战 
的 访问 结构 A* ,其 中 敌手 在 阶段 1 中 询问 过 的 属性 集合 均 不 能 满足 此 访问 结构 。 挑 战 者 
选择 随机 数 8<-k{0,1) 并 以 A* 加密 My ,将 密 文 C" ARF. 

(4) 阶段 2( 训 练 )。 敌 手 发 出 对 其 余 的 属性 集合 7 的 秘密 钥 产 生 询问 ,唯一 的 限制 是 
这 些 y 均 不 满足 挑战 阶段 的 访问 结构 A* 。 挑 战 者 以 阶段 1 中 的 方式 进行 回应 ,这 一 过 程 
可 重复 多 项 式 有 界 次 。 

G) 猜测 。 敌 手 输出 猜测 g E {0,1) ,如 果 8 一 8, 则 敌手 攻击 成 功 。 

敌手 的 优势 定义 为 安全 参数 的 函数 : 

AdE j= [Prog =p] 

如 果 敌 手 在 初始 化 阶段 前 声称 一 个 意欲 挑战 的 访问 结构 A* , 则 称 这 个 系统 是 选 定 
访问 结构 安全 的 。 

IND-CP-ABE-CPA 游戏 的 形式 化 描述 如 下 : 

站 Eee > 

(params,msk)< Init( ); 

(Mo ,Mi ,A" )< ASe (params); 

B<R{0.1}.C* = x (Mg); 

Bo <—  ABEGen sa C Jig 

如 果 g = B. 则 返回 1; 和 否则 返回 0. 
其 中 ABEGen(。) 表 示 敌 手 向 挑战 者 做 属性 集合 的 秘密 钥 询 问 ,ABEGenzn*(，) 表 示 
敌手 向 挑战 者 做 不 满足 A* 的 属性 集合 y 的 秘密 钥 询问 。 

敌手 的 优势 为 

Advt ) = |Pr[ExpBR ec ) 一 1] 一 村 

定义 5-1 如 果 对 任何 多 项 式 时 间 的 敌手 在 上 述 游戏 中 的 优势 是 可 忽略 的 , 则 称 此 
CP-ABE 加 密 机 制 是 语义 安全 的 。 

KP-ABE 方案 由 以 下 4 个 算法 组 成 : 

(1) 初始 化 。 为 随机 化 算法 ,输入 安全 参数 和 属性 总 体 的 描述 ,输出 系统 参数 
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params 和 主 密 钥 msk。 表 示 为 (params,msk)<Init( ) 。 

(2) 加 密 。 为 随机 化 算法 ,输入 消息 M、 系 统 参数 params 以 及 属性 集 y, 输 出 密 文 
CT。 表 示 为 CT= ;CMVD) 。 

(3) 密 钥 产生 。 为 随机 化 算法 ,输入 系统 参数 params, EWH msk 以 及 访问 结构 A ， 
输出 会 话 密 钥 sk。 表 示 为 sk 一 ABEGen(A )。 

(4) 解密 。 为 确定 性 算法 ,输入 系统 参数 params, ARH sk( 属 性 集合 y 对 应 的 密 
钥 ) 及 密 文 CT( 包 含 访问 策略 A ) ,如 果 YE A ,解密 算法 将 解密 CT 并 返回 消息 M。 表 示 
为 M= «(CT). 

仍 将 KP-ABE FRH II HY IND 游戏 ( 称 为 IND-KP-ABE-CPA 游戏 ) 如 下 : 

(1) 初始 化 。 由 挑战 者 运行 ,产生 系统 参数 params 和 主 密 钥 msk ,将 params 给 
敌手 。 

(2) 阶段 1( 训 练 )。 敌 手 发 出 对 访问 结构 A 的 秘密 钥 产 生 询问 。 挑 战 者 运行 秘密 钥 
产生 算法 ,产生 与 A 对 应 的 秘密 钥 d, 并 把 它 发 送 给 敌手 ,这 一 过 程 可 重复 多 项 式 有 界 次 。 

(3) 挑战 。 敌 手提 交 两 个 长 度 相等 的 消息 M M 和 一 个 意欲 挑战 的 属性 集合 7* ， 
其 中 六 不 满足 阶段 1 中 的 每 一 个 访问 结构 A。 挑 战 者 选择 随机 数 B<-rk{0,1) ,以 7* 加 密 
M HEX C 给 敌手 。 

CA) 阶段 2( 训 练 )。 重 复 阶段 1 的 过 程 ,敌手 发 出 对 其 余 的 访问 结构 A 的 秘密 钥 产生 
询问 。 唯 一 的 限制 是 挑战 阶段 产生 的 属性 集合 y 均 不 满足 访问 结构 A ,表示 为 7Y" EA., 
挑战 者 以 阶段 1 中 的 方式 进行 回应 ,这 一 过 程 可 重复 多 项 式 有 界 次 。 

(5) 猜测 。 敌 手 输 出 猜测 BE {0,1) ,如 果 8'==B, 则 敌手 攻击 成 功 。 

敌手 的 优势 定义 为 安全 参数 的 函数 : 


Advis" ( y= [Prog = B]— > 


如 果 敌 手 在 初始 化 阶段 前 声称 一 个 意欲 挑战 的 属性 集合 y”, 则 称 这 个 系统 是 选 定 属 
性 安全 的 。 
IND-KP-ABE-CPA 游戏 的 形式 化 描述 如 下 : 
下 ARERAK Ys 
(params,msk) <— Init( ); 
(Mo ,Mi ,7” )< APEceo (params); 
B<r{0,1}.C” = r (My); 
B < ABEGenypy* (O) (C7); 
如 果 p = B, 则 返回 1; 和 否则 返回 0. 
其 中 ABEGen(。) 表 示 敌 手 向 挑战 者 做 访问 结构 的 秘密 钥 询 问 ,ABEGenz,*(，。) 表 示 
敌手 向 挑战 者 做 访问 结构 A 的 秘密 钥 询 问 ,其 中 y* EA. 
敌手 的 优势 为 
1 


Advi“ ) = | Pr[ Expr ) = 1]— 却 


定义 5-2 如果 对 任何 多 项 式 时 间 的 敌手 在 上 述 游戏 中 的 优势 是 可 忽略 的 , 则 称 此 
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KP-ABE 加 密 机 制 是 语义 安全 的 。 

与 IBE 方案 类 似 ,ABE 方案 的 安全 模型 也 分 为 分 离 策略 安全 的 和 基于 对 偶 系 统 安全 
的 。 然 而 分 离 策略 在 ABE 中 不 容易 实现 ,这 是 因为 ABE 中 秘密 钥 和 密 文 的 结构 复杂 得 
多 ,不 同 的 密 钥 可 能 共享 不 同 的 属性 ,因而 是 相关 联 的。 对 偶 加 密 系统 可 解决 分 离 式 策 略 
带 来 的 问题 。 

访问 结构 也 称 访问 策略 ,表示 为 A ( 见 定 义 1-18) , 它 的 引入 实现 了 对 数据 的 细 粒 度 
访问 控制 ,使 得 一 个 密 钥 可 能 解密 多 个 密 文 ,而 一 个 密 文 也 可 能 被 多 个 密 钥 解 密 。 

本 章 分 别 介绍 Sahai 和 Waters 的 模糊 身份 的 CP-ABE tn Jy #™ , Goyal, Pandey, 
Sahai, Waters 的 细 粒 度 KP-ABE 方案 四 ,Waters 的 CP-ABE 加 密 方案 外 ,Lewko 等 的 基 
于 对 偶 系 统 加 密 的 ABE FRH Ostrovsky, Sahai, Waters 的 非 单 调 访问 结构 的 ABE 方 
#8") ,Boneh，Sahai，Waters 的 函数 加 密 方案 四。 文献 L1] 中 的 访问 策略 是 门限 策略 ,其 
中 密 文 中 需要 有 一 定数 量 (门限 ) 的 特定 属性 才能 解密 。 文 献 [2-4] 中 的 访问 策略 是 单调 
访问 策略 ,其 定义 见 定义 1-18, 其 中 表达 策略 的 谓词 公式 中 只 有 与 门 (AND) I] COR) 
以 及 门限 门 结构 ,而 没有 非 门 ( 即 否 定 词 )。 文 献 [5] 的 方案 可 处 理 否 定 词 ,因而 是 非 单调 
的 访问 结构 。 
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基于 模糊 身份 的 加 密 方案 ,简称 Fuzzy IBE( Fuzzy Identity-Based Encryption), 是 
Sahai 和 Waters 于 2005 年 提出 的 ,是 对 使 用 生物 特征 数据 作为 身份 信息 的 IBE 方案 的 
改进 。 该 方案 通过 引入 门限 方案 的 思想 ,将 用 户 的 多 个 公开 钥 构 建成 具有 逻辑 关系 的 门 
限 结 构 , 且 身份 信息 和 公开 钥 具 有 一 对 多 的 对 应 关系 。 若 用 户 拥有 身份 o 对 应 的 秘密 
钥 ,就 可 解密 公开 钥 w 加 密 的 消息 , 当 且 仅 当 在 某 种 度量 下 ,w Mo 在 某 个 距离 之 内 。 作 
为 身份 信息 的 生物 特征 ,其 距离 度量 可 取 汉 明 距 离 、 集 合 差 、 编 辑 距 离 。 所 以 在 Fuzzy 
IBE 系统 中 ,将 用 户 的 生物 特征 作为 身份 ,可 实现 容错 的 基于 身份 的 加 密 。 此 外 若 将 身份 
w 取 为 属性 集合 ,Fuzzy IBE 系统 则 可 用 于 基于 密 钥 策略 的 属性 加 密 (KP-ABE) 。 


521 Fuzzy BE 的 安全 模型 及 困难 性 假设 


Fuzzy IBE 的 选 定 身份 (Fuzzy Selective-ID) 模 型 与 基于 身份 的 标准 模型 类 似 ,区 别 
在 于 仅 允 许 敌 手 询问 与 目标 身份 在 某 个 距离 范围 外 的 身份 的 秘密 钥 ,其 中 距离 度量 取 集 
GE. Ko 和 w 是 两 个 集合 ,它们 的 对 称 差 是 集合 wAw 二 {TEwUw |xEoNo'}.o 和 
w 之 间 的 集合 差 定义 为 | uAw | 。 为 使 集合 差 大 于 某 个 门限 值 , |w 门 w | 必须 小 于 某 个 定 
值 ,这 样 就 可 以 把 集合 差 转 化 为 集合 交 来 描述 。 

Be 表示 一 个 攻击 者 ， 可 以 对 任 一 身份 做 秘密 钥 产 生 询问 ,限制 条 件 是 该 身份 与 要 
攻击 的 身份 交集 大 小 小 于 d。 

下 面 是 Fuzzy IBE 机 制 ( 记 为 ID REWER 

(1) 敌手 声称 意欲 挑战 的 身份 a。 
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(2) 初始 化 。 由 挑战 者 运行 ,产生 系统 参数 params 和 主 密 钥 msk, 将 params 给 
敌手 。 

(3) 阶段 1( 训 练 )。 敌 手 对 满足 |y; 门 a| <d 的 身份 7; 进行 秘密 钥 询 问 。 

(4) 挑战 。 敌手 提交 两 个 长 度 相 等 的 消息 M。 和 Mi 。 挑 战 者 选择 随机 数 8<-r (0, 
1) ,以 a 加 密 Me ,将 密 文 C* ARF. 

G) 阶段 2( 训 练 )。 重 复 阶 段 1 的 过 程 。 

(6) 猜测 。 敌 手 输出 猜测 PE {0,1}) ,如 果 8’ 二 B, 则 敌手 攻击 成 功 。 

敌手 的 优势 定义 为 安全 参数 的 函数 : 


Advat®() = | Pr[p’ = B]— 4 


定义 5-3 如果 对 任何 多 项 式 时 间 的 敌手 在 上 述 游戏 中 的 优势 是 可 忽略 的 , 则 称 此 
Fuzzy IBE 加 密 机 制 是 安全 的 。 

下 面 的 Fuzzy IBE 方案 其 安全 性 基于 判定 性 修改 版 的 双 线 性 Diffie-Hellman 
(Modified Bilinear Diffie-Hellman) 假 设 , 记 为 判定 性 MBDH 假设 。 回 忆 判 定性 双 线 性 
Diffie-Hellman 假设 ,挑战 者 随机 选择 a .b.c~ RZ, ,不 存在 多 项 式 时 间 的 敌手 能 以 不 可 忽 
略 的 优势 区 分 以 下 两 个 分 布 总 体 : 

{CA = g’.B=2',C=g¢°.Z = &(g.g)™)} 
{(A = g* B= g',C = g',Z = ê (g.g)")} 

判定 性 MBDH 假设 是 指 ,挑战 者 随机 选择 a 0.0 RZ,» BFF ER E BF fH 

以 不 可 忽略 的 优势 区 分 
moon = {(A =g; B= gC =g Z= gg)? )} 




















和 





mo = {(A = g*.B= g’,C= g'.Z = ê (gsg)*)} 
522 基于 模糊 身份 的 加 密 方案 


方案 将 身份 看 作 属性 集合 ,门限 值 d 表示 由 身份 w 产生 的 密 文 仅 由 满足 lonow'| > 
的 w' 才 能 解密 。 其 中 ,参数 设置 如 下 : g 是 阶 为 素数 KEG WERI IRER ê: 
GiXGirG,, 为 安全 参数 ,代表 群 的 大 小 。 对 iE Z, 及 Z, 中 元 素 的 集合 S, 定义 拉 格 朗 
日 系数 为 As(z) = TI T, 属性 总 体 记 为 ,大 小 记 为 | | ,其 元 素 用 Z; 中 的 前 | | 


jES.j#i 
个 元 素 1,…,| |(mod p) 表 示 。 身 份 为 的 元 素 构成 的 子 集 。 方 案 如 下 。 
(1) 初始 化 。 


Init( ) : 





trettat) | sy RZ ys 
params = (T, = g^.. T] | =g'l | Y = &(g.g)’); 
msk = (tst | >). 
(2) 密 钥 产生 (其 中 wS )。 
ABEGen(msk,w) : 
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随机 选取 一 个 d 一 1 次 多 项 式 g, 满 足 gq(0) = y; 
D; = on i Ew; 
ds = {Dj} en. 
d, 作为 对 w 产生 的 秘密 钥 。 
(3) 加 密 ( 用 接收 方 的 属性 w 作为 公开 钥 , 其 中 MEG). 
sM): 
Ss RZLp; 
CT = (w C" =M -YO = Thes): 
注意 ,属性 信息 w 出 现在 密 文 CT 中 。 
(4) 解密 (用 ww 解密 CT, 其 中 lw 站 w | Sd). 
a(CT): 
E wN w Pied 个 元 素 , 构 成 集合 S; 
返回 C/T ECs, 


iES 





这 是 因为 
C [T EDC =M +e (erg /IT (eg eas 
ies iES 


=M -ê o/I (2 Cg, g) ys 
iES 


=M 
最 后 一 个 等 式 由 指数 上 的 插值 得 到 。 
定理 5-1 在 选 定 身份 模型 下 ,如 果 存 在 多 项 式 时 间 的 敌手 以 的 优势 攻破 该 方案 ， 


则 存在 男 一 敌手 以 亏 的 优势 解决 判定 性 MBDH 问题 。 


证 明 : 挑战 者 做 如 下 设置 : 选取 群 G1 (包括 其 生成 元 g)、G; 及 双 线 性 映射 6: GX 
Gi 一 G， ,随机 选取 pg{0,1}, 若 0p 一 0, 设 置 
T = (A,B,C,Z) = (87.8.5 ê (gg)* ) 
若 /一 1, 设 置 
T = (A,B,C,.Z) = (g°.g*,g ê (gg) ) 
其 中 cz 均 为 随机 数 。 收 到 4 元 组 工 后 ,通过 与 进行 以 下 游戏 ,以 判断 TE 
mspH 还 是 TE waot 。 假 定 属性 总 体 是 公开 的 。 

游戏 开始 前 ， 首 先 获 得 意欲 挑战 的 身份 a。 

(1) 初始 化 。 产生 系统 参数 : Y 一 e(g,A) 一 e(g,g)"; 对 所 有 的 i€a, 随 机 选择 
vite ZpS T;=Ci =g" ;对 所 有 的 iEU 一 a, 随 机 选择 w;<-kZ,, 令 T; 二 g“。 设 系统 参 
数 params 王 (Ti,…,T| |,Y), 将 其 发 送 给 敌手 。 在 看 来 所 有 参数 均 为 随机 的 。 

(2) 阶段 1。 对 身份 7 做 秘密 钥 产 生 询 问 , 其 中 7 满足 |7Y 几 Nal 二 d。 按 以 下 方式 定 
M3¢H4I'.S: 

。 T=yNMa. 
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。 械 ' 是 满足 TET Gy HI| =d—1 的 集合 。 
。 S=r'U {0}. 
TT SPIRE OS a 和 7 之 间 的 关系 如 图 5-1 
所 示 。 
然后 按 以 下 方式 为 7 产生 秘密 钥 : 
。 当 iET 时 ,随机 选取 s: 一 kZ ,计算 
D;= 








© YIP’ —P it, BAPL BEM A<—eZ,.it 
算 Dee. 
按照 上 述 方式 , 隐 含 地 有 一 个 d 一 1 次 多 项 图 5-1 4 个 集合 之 间 的 关系 
式 g(z) 满 足 
as i=0 
qa) = 3 ier 
Ais i€r’-r 


而 对 于 EL ,由 于 对 所 有 £a, 知道 T, 的 离散 对 数 志 ,, 因 此 可 计算 
b) si i 445,50 Sos 
pi (Ile a pIE g)" 
利用 拉 格 朗 日 插值,D， 的 表达 式 中 ， 人 


次 多 项 式 q(x) ,使 得 D; 一 g”。 在 敌手 看 来 ， 按 以 上 方式 为 y 产 生 的 秘密 钥 与 真实 方 
案 中 的 秘密 钥 是 同 分 布 的 。 
(3) 挑战 。 向 提交 两 个 挑战 消息 Mo 和 Mi。 随机 选 Be (0,1), 7+ 5% Ms 的 密 


X: C" = (aC =M; * Z, {(C:=B* iea) WẸ p=0, W Z=ê (g.g)™ WR r “一 二, 则 














有 C'=M, * Z=M; + ê (g.g)* =M; * ê (gs8)" =M; * Y” CG, = BY = gh = ge = g" 
(五 )“。 所 以 该 密 文 是 消息 Ms EAH < 下 的 加 密 结 果 。 如 果 /一 1, 则 Z= 9° AA CM, + 
è (8g,85), 由 于 = 是 随机 的 ,所 以 在 看 来 ,C' 是 Gs 中 的 随机 元 素 , 不 含有 M 的 信息 。 

(4) 阶段 2。 与 阶段 1 类 似 。 

(5) 猜测 。 输出 对 8 的 猜测 8 。 如 果 B= 二 B， 输 出 y= 二 0, 表 示 TE mo: 如果 
BAR, 输出 K =R TE memo 


当 w=1 时 ， 没 有 获得 8 的 任何 信息 ,因此 Pr[p’AB|p=1] =>. M4 p ABM. 
猜测 p= 1. Pr[p’=p|e=1]=5- 
当 4=0 时 ， 看 到 Ms 的 密 文 ,由 于 WRA Prop =ple=0] 54+ 。 而 当 
B' 一 B 时 ,猜测 一 0, 所 以 Pr[w =pel ~=0J= 5+ 
综 上 ,由 (2.2) 式 ， 的 优势 为 
Prie xlx= 0] L Prj ele=1) 地 (去 + ) TE 7 
GEM 5-1 证 毕 ) 
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523 大 属性 集 上 的 基于 模糊 身份 的 加 密 方 案 


在 5.2.2 节 的 方案 中 ,公开 参数 随 着 属性 集 的 大 小 | | 而 线性 增长 。 本 方案 取 
Zi 为 属性 总 体 , 公 开 参 数 关 于 线性 增长 ,其 中 为 加 密 的 最 大 的 身份 长 度 。 通 过 大 
属性 集 上 一 个 抗 碰 撞 的 哈 希 函数 态 ;: {0,1)" >Z; ,可 以 把 任意 串 映射 到 Z; 上 ,在 初始 
化 阶段 建立 系统 公开 参数 时 ,不 用 考虑 属性 。 方 案 的 安全 性 基于 判定 性 BDH 假设 ( 见 
4.3.14). 

参数 设置 与 5.2. 2 节 相同 ,加 密 身 份 固定 为 n 长 , 即 身 份 由 Z; 中 的 个 元 素 构 成 。 
如 果 取 一 个 将 任意 串 映射 到 Z; 的 抗 碰 撞 的 喻 希 函 数 态 , 则 身份 可 取 为 n 个 任意 长 的 元 
素 。 方 案 的 具体 构造 如 下 。 

(1) 初始 化 。 





Y RZp; 

gı = 882 +RrGis 
tro? stats “RGis 
NA 人 AI{(1,…'2 十 1); 


mH 
T(x) a g? [lL itn®; 
i=1 


Params = (1082 tir" stati ) 3 


msk = y. 


其 中 定义 的 函数 TCz) ag? Hese 可 看 作 是 存在 某 个 n KAMA (x) 使 得 T(x) = 


at gh, 
(2) 密 钥 产 生 (其 中 wS )。 
ABEGen(msk.w) : 
随机 选取 一 个 d 一 1 次 多 项 式 g, 满 足 q(0) = y; 
对 每 一 i Ew 
{ri <rZps 


D; = gf? TG)" ,di = g"); 
da = {Disdi}iew- 
d, 作为 对 w 产生 的 秘密 钥 。 
O 加 密 (用 接收 方 的 属性 w 作为 公开 钥 , 其 中 MEG). 
s RZp; 
CT = (w C = M+ ê (grog) C = g',{C = T GY hies )- 
注意 ,属性 信息 w 出 现在 密 文 CT 中 。 
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CA) 解密 (用 ww 解密 CT, 其 中 |onw >d). 
acd: 


在 w lo’ 中 选 d 个 元 素 , 构 成 集合 S; 








op el(di,C:i) a 
BAC Lames 

这 是 因为 

$ é(d;,C;) sc N ( êg T O) u 

b — F =M «+ ê (gi,g2)’ 

cH 上 eee I ET Oe) 

(eni, T GF 4,5 
=M e é(gi+g2)' rT ITALI 
PRSA I aes 


A 1 
=M: ê (g.g2)" I] - 


ies ê (gogr ) sO 
=M. 
EHE 5-2 在 选 定 身份 模型 下 ,如 果 存 在 多 项 式 时 间 的 敌手 以 的 优势 攻破 该 方案 ， 
则 存在 另 一 敌手 以 的 优势 解决 判定 性 BDH 问题 。 


证 明 : 挑战 者 做 如 下 设置 : 选取 群 G, (包括 其 生成 元 g)、G; 及 双 线 性 映射 6: G X 

Gi Gy ,随机 选取 pw<-R{0,1}, 若 /一 0, 设 置 
T = (A,B,C,Z) = (g*+2°.8' sé (g,g)™ ) 
若 /一 1, 设 置 
T= (A;B; 二 

其 中 cx 均 为 随机 数 。 收 到 TCA TR. ETT PR, A T E 
gpH 还 是 TE mio BEREE 是 公开 的 。 

游戏 开始 前 ， 首 先 获得 意欲 挑战 的 身份 a。 

(1) 初始 化 。 产生 系统 参数 : gi 一 A.g, 一 B。 随 机 选择 一 个 n KAUR f(x) HE 
义 一 个 n 次 多 项 式 u (xz) 满足 u(xz)== 一 x" 当 且 仅 当 x Ea。 令 = gfe 
(i=1,2,… n+1) MW Tr) =g] gf, K rEa tt, T) =g. 

(2) 阶段 1。 对 身份 y 做 秘密 钥 产 生 询 问 p y | yNel<d. 按 以 下 方式 定 
M38+H#4rvr'.s: 

e T=yNMa. 

。 醋 “是 满足 TET 'Sy 且 |T'|==d 一 1 的 集合 。 

e S=r'U {0}. 

然后 按 以 下 方式 为 7 产生 秘密 钥 : 

。 当 iET' 时 ,随机 选取 x,X<-kZs :计算 Di= gk TG" ,di 一 g"*。 按 照 这 种 方式 , 隐 

含 地 有 一 个 d 一 1 次 多 项 式 q(x) 满足 
i a, i=0 
Wr ier 
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， 当 iEY 一 了 时 ,随机 选取 rigZs 及 4; 呈 RZs( 对 所 有 jET'), 计 算 D: 和 qi: 
a P á akn 
D= (Hers ) (ee (gi th gf yi yas, di = (gi g ys 
jer’ 
Mux) AEA 4 Ea HG TE yY-T OM uA M Hui, MRK 
a ea a > y 
n=(x mE AsO T gom EE 5 


SG p Misti , 
D, = (Me ) (gr es HD SA yri ydos 
jer 


= m 4,80 ra PHD Qf Yr Ays D 
= ilg; ) (Camm ) (gO gra ji jas 
ier’ 


À; A; gf) n P P -a +a) P , 5 
= (Le? ) (et (8E? 2 yapo (ga gf y yos 
jer 


44,5 Pay eee 
= ( Tle? ys Jcs: (gO gf yh aw Js 
jer’ 





= (lgh Jats? (TO) 
jer" 
=g; (TM)" 
d= (ao g AsO = (gr ri jes? = g" 
综 上 ， 能 够 回答 敌手 对 y 的 秘密 钥 询 问 。 
(3) 挑战 。 向 提交 两 个 挑战 消息 M。 和 Mi。 随机 选 8<-k {10,1), 计 算 Me 的 
好 
如 果 pn=0, 则 Ze (e.g) , 密 文 为 
EC EM 
是 消息 Ms 在 身份 a 下 的 有 效 密 文 。 如 果 /一 1, 则 Z=ê (g.g) C 一 Me (g,g)*, 由 于 
z 是 随机 选取 的 ,所 以 C' 是 Gs 中 的 随机 元 素 ,不 含 Ms 的 信息 。 
(4) 阶段 2。 与 阶段 1 类 似 。 
(5) 猜测 。 输出 对 8 的 猜测 8’。 如 果 B= 二 BB， 输出 y= 二 0, 表 示 TE won. WH 
B' 隆 B， 输 出 y= 二 1, 表 示 TE oon. OR 的 优势 与 定理 5-1 相同 。 
(定理 5-2 证 毕 ) 


5.3 一 种 基于 密 钥 策略 的 属性 加 密 方 案 





本 节 介 绍 Goyal, Pandey, Sahai, Waters 等 提出 的 KP-ABE 方案 中 ,其 中 在 密 钥 中 指 
定 访问 结构 ,在 密 文 中 指定 属性 集合 ,只 有 当 密 文 的 属性 集合 满足 密 钥 所 指定 的 访问 策略 
时 才能 解密 。 方 案 中 的 访问 结构 采用 树 结 构 ,简称 访问 树 。 


531 访问 树 结 构 


访问 树 结构 是 ABE 体制 中 用 来 表示 访问 控制 策略 的 另 一 种 常见 结构 ,可 以 视 为 是 对 
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(7 门限 访问 结构 的 进一步 扩展 。 在 KP-ABE 方案 中 ,用 户 密 钥 用 访问 树 表示 ,具体 做 
法 是 : 用 树 的 内 部 节点 表示 门限 结构 (* 与 门 ?或 者 “或 门 ?) , 叶 节 点 表示 属性 。 这 是 非常 
富有 表达 力 的 ,可 以 通过 分 别 使 用 (2,2) 门 限 门 和 (1,2) 门 限 门 得 到 “与 门 ” 或 “或 门 ” 来 描 
述 一 个 访问 树 。 

设 是 一 个 访问 树 。 中 每 个 内 部 节点 zx 表示 一 个 门限 结构 ,用 (k,num, ) 描 述 ,其 中 
num, 表示 xz 的 孩子 节点 的 个 数 ,k, 表示 门限 值 ,0 二 ,三 num:。ks = 1 KIRRI]. k = 
num, 表示 与 门 。 叶 节点 x 用 来 描述 属性 ,其 门限 值 ,二 1。 

在 访问 树 结 构 上 定义 3 个 函数 : 

。 parent(z): 返回 节点 zx 的 父 节点 。 

。att(z): 仅 当 工 是 叶 节点 时 ,返回 该 节点 描述 的 属性 。 

。 index(x); 返回 工 在 其 兄弟 节点 中 的 编号 。 

设 是 以 为 根 节点 的 访问 树 , 用 ,表示 以 xz 为 根 的 子 树 ，, 就 是 。 如 果 一 个 属性 集 
合 y 满足 访问 树 - ,就 表示 为 OO 一 1, 可 以 通过 如 下 递归 的 方式 计算 ,(7)。 

(1) 如 果 工 是 非 叶 节点 ,对 z 的 所 有 孩子 节点 并 计算 "(Y)。 当 且 仅 当 至 少 有 ke 个 
孩子 节点 zx 返回 2 (7)==1 时, (7)=1。 

(2) 如 果 zz 是 叶 节 点 , 当 且 仅 当 zz 表示 的 属性 att(x) 是 属性 集合 7 中 的 元 素 , 即 
att(rye yh. .M=1. 

已 知 属性 集合 y 和 访问 树 ,可 通过 调用 上 述 递归 算法 验证 y 是 否 满足 。 如 果 满 足 ， 
TW y 是 授权 集合 ,和 否则 y 是 非 授权 集合 。 

图 5-2 访问 结构 树 对 应 的 逻辑 表达 式 为 

(属性 1 OR 属性 2) AND (属性 3 OR (属性 4 AND 属性 5)) 





图 5-2 ”访问 结构 树 示例 


已 知 属性 集 : 
A: {属性 1, 属 性 3) 
B: {属性 1, 属性 3, 属性 4} 
C: {属性 3, 属性 5} 
D: { 属 性 2, 属性 3, 属 性 5) 
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满足 该 访问 树 的 属性 集 有 A、B、D, 所 以 A、B、D 是 授权 集合 ,C 是 非 授 权 集合 。 


532 KP-ABE 方案 构造 


参数 设置 与 5. 2. 2 节 相 同 。 
(1) 初始 化 。 
Init( ): 
hot) | oy RL; 
params = (T=g,,T| | =g'! | ,Y =ê (gg) ); 
msk = (二 | oy). 
(2) 加 密 ( 用 接收 方 的 属性 y 作为 公开 钥 ,其 中 ME G,)。 
| 
CT = (7,C =M-Y'.{C; = Tihe). 
注意 ,属性 信息 y 出 现在 密 文 CT 中 。 
(3) 产生 密 钥 。ABEGen( ,msk) 算 法 输入 访问 树 和 主 密 钥 msk, 输 出 解密 密 钥 D。 
使 得 当 属性 集合 y 满足 (7Y) = 二 1,D 能 够 解密 由 Y 加 密 的 密 文 。 
算法 首先 从 根 节点 + 开始 , 自 上 而 下 地 遍历 。 为 每 一 节点 z( 包 括 叶 节点 ) 建 立 一 个 
随机 多 项 式 gq, ,多 项 式 的 次 数 取 为 d; 二 k, 一 1, 其 中 ,为 节点 x 的 门限 值 ,以 num, 表示 
x 的 子 节 点 数 , 则 0 二 k, 三 num,。 多 项 式 的 de 个 非常 数 项 系数 随机 选择 ,而 常数 项 如 下 
选择 : 
。 若 z=r, 令 gq,(0)=y。 
© 若 zx 天 r, 令 qa (0) 二 gpwrenw (index(x))。 
所 有 节点 的 多 项 式 定义 完成 后 ,对 于 每 一 个 叶 节 点 xz ,计算 其 上 的 秘密 值 : 


a0 


D, =g" , i€ att(z) 

解密 密 钥 取 为 D={D,}。 

(4) MEOH D MR CT). 

KD 中 包含 访问 树 ,对 的 节点 工 定义 以 下 两 个 集合 : 

Sr: zz 的 所 有 孩子 节点 的 集合 。 

S= 人 |=ES-j 一 index(z)}, 即 二 的 所 有 孩子 节点 的 编号 集合 。 

定义 一 个 递归 算法 DecryptNode(CT,D,z) ,表示 输入 为 密 文 CT= (7Y,C' ,{Cijiey)、 
解密 密 钥 D=={D,} (访问 树 为 )、 的 节点 z, 输 出 为 群 G* 上 的 元 素 或 上 | 。 

4 i=att(x). 


若 工 是 叶 节 点 ,计算 





三 
aly 否则 
若 工 是 非 叶 节点 , 则 对 zE S, 的 所 有 和 孩子 节点 = ,调用 F.=DecryptNode(CT.D.2). 
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计算 
F,= [Fos = Il G (gg) yo 一 亚 CE Car) Morente index) yo 
2€S, 2€S, 26S, 
= Tete. g Ss = ag ge 
2€S, 


其 中 最 后 一 个 等 式 由 在 指数 上 进行 多 项 式 插值 得 到 。 
由 递归 算法 DecryptNode(CT,D,z) 得 解密 算法 如 下 : 


p(CT): 
F, = DecryptNode(CT,.D,r); 
M=C’'/F,. 

这 是 因为 F,=DecryptNode(CT,D.r) =é (gg) % =ê (gg) =Y", 


说 明 : 

(1) 在 此 方案 中 ,用 户 密 钥 由 随机 多 项 式 和 随机 数 建立 ,不 同 用 户 的 密 钥 无 法 联合 ， 
从 而 能 够 防止 共 谋 攻击 。 

(2) 方案 的 公开 参数 params= (T; =g" 0. Ti | = Y =ê (g,g)?) 的 大 小 随 属性 
数量 而 线性 增长 ,因而 该 方案 仅 适 合 小 属性 域 。 

在 选 定 属性 集合 模型 下 ,方案 的 安全 性 可 归 约 到 判定 性 双 线性 BDH 假设 上 。 

定理 5-3 在 选 定 属性 集合 模型 下 ,如 果 存 在 多 项 式 时 间 的 敌手 以 的 优势 攻破 该 


方案 , 则 存在 男 一 敌手 以 亏 的 优势 解决 判定 性 BDH 问题 。 


证 明 : 挑战 者 做 如 下 设置 。 选 取 群 G, (包括 其 生成 元 g)、Gs 及 双 线 性 映射 6: G x 
Gi>G, ,随机 选取 jy<-k{0,1) ,车 j==0, 设 置 
T = (A,B,C,Z) = (gp e t (g,g)™ ) 
若 p 一 1, 设置 
T = (A,B,C,Z) = (g* +g" 8°52 (g,g)") 
其 中 ab、c、z 均 为 随机 数 。 收 到 4 元 组 工 后 ,通过 与 进行 以 下 游戏 ,以 判断 TE 
spH 还 是 TE spon。 假定 属性 总 体 是 公开 的 。 
游戏 开始 前 ， 首 先 获得 意欲 挑战 的 属性 集合 Vo 
CD) 初始 化 = 产生 公开 参数 : Y==e(A,B)= 二 6e(g,g)”( 即 隐 伟 地 设置 主 密 钥 中 的 
y=ab) ,对 每 一 i€ ,如 果 i€E7Y, 随 机 选择 六 < 一 RZ ,设置 T= 2" ,因此 1 二 r;。 如 果 Ey, 
随机 选择 vw; 一 Z, ,设置 T; =B =g" ,因此 隐 含 地 有 ;二 bv;。 
将 公开 参数 发 送 给 。 
(2) 阶段 1。 自 适应 地 对 使 7 不 能 满足 的 访问 结构 〈( 即 (7) 二 0) 做 秘密 钥 产 生 询 
问 。 需要 为 中 的 每 一 个 节点 r 指定 一 个 次 数 为 d, 的 多 项 式 Q,。 
为 此 首先 定义 以 下 两 个 过 程 : PolySat 和 PolyUnsat。 
PolySat( ,,Y,4;) 用 于 为 以 z 为 根 节点 ,上 且 YO =1 的 访问 子 树 ,的 每 一 节点 创建 
多 项 式 , 它 的 输入 为 。、 属 性 集合 y URERA, EZ, 
首先 为 根 节点 r 定义 次 数 为 d, WEHR qq 的 常数 项 设置 为 g,(0) =2, ,其 他 d, 
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个 系数 取 为 随机 数 。 然 后 调用 过 程 PolySat( " ,y,qz(index(z'))) 为 工 的 每 个 子 节点 工 
设置 多 项 式 ,其 中 qz (0) =q, Cindex(2’)). 

PolyUnsat( ;,Y,g* ) 用 于 为 以 xz 为 根 节点 , 且 -0050 的 访问 子 树 -的 每 一 节点 创 
建 多 项 式 , 它 的 输入 为 ,、 属 性 集合 y 以 及 群 元 素 g> EG EP A, CZ, BRAM). 

首先 为 根 节点 x 定义 次 数 为 d, 的 多 项 式 g, ,通过 按 以 下 方式 随机 指定 d; 个 点 并 隐 
含 地 指定 gq.(0) =A, ,从 而 隐 含 地 定义 节点 x 的 多 项 式 g,。 设 x' 是 使 得 (7Y)==1 的 xz 的 
子 节点 ,了 是 所 有 构成 的 集合 。 因 为 ,(7) 二 0, 则 有 |T|==h, 三 d,。 对 于 本 中 的 每 一 个 
x’ REDLER Ay rZ, IFS q. Cindex(2’)) =A, ET’ ARR deh, 个 z 的 子 节点 集 
合 , 随 机 选取 Ue RZ, FFF qz(index(2’)) =vy 。 

然后 为 访问 树 中 剩余 的 节点 按 以 下 方式 递归 地 定义 多 项 式 , 其 中 x 是 xz 的 子 节点 : 

© WẸ (7) 二 1, 则 调用 PolySat( ,7Y,g; (index(zx ))), 其 中 q, Cindex(2’)) EB 

知 的 。 
。 如 果 "(7) 王 0, 令 i=index(2’) RK 


g? 一 Hee) Lari) (giz jos 
调用 PolyUnsat( x,y g), (PREIS TLE EP z 的 子 节点 x , 隐 含 地 有 gy (0) = 
q+ (index(x’)) , 

PolySat 和 PolyUnsat 的 终止 条 件 是 遍历 完 的 每 一 个 叶 节 点 xz, 此 时 为 zx 建立 的 多 
THA 0 次 , 即 常数 项 。 如 果 (1) = 1. H PolySat 知 ,该 常数 项 等 于 paren (index(z)); 
如 果 (1) =0. H PolyUnsat 知 ,该 常数 项 等 于 g'ri Gda 。 

为 了 得 到 访问 树 的 密 钥 ， 首 先 运行 PolyUnsat( ,y,g") ,为 的 每 个 节点 建立 多 项 
式 , 隐 含 地 有 q, 0) =a, 

按 以 下 方式 继续 为 的 每 个 节点 定义 多 项 式 Q + = bg. (+). y=Q,(0) =ab. 
对 叶 节 点 z, 令 iatt(z) ,定义 过 对 应 的 密 钥 成 分 为 























a0 
D, = Bers att(a) EY 
(E)r, att(z) Ey 
这 是 因为 当 att(x)EY 时 ， 
4,0) ba, (0) Q, 0% 
D, =B% =g% =g" 
4% attr) FY 时 ， 
r a0 ta, 0 a.) 
D, = (gjy =g = =g i 


因此 隐 含 地 为 的 每 个 节点 定义 了 多 项 式 Q.0 + bg. +) HIE Q,(0) =ab=y ik 
里 y 为 主 密 钥 中 的 成 分 。 按 如 上 方式 为 建立 的 秘密 钥 和 原始 方案 中 的 密 钥 是 同 分 
布 的 。 
(3) 挑战 。 向 提交 两 个 挑战 消息 Me 和 Mi 。 随机 选 B<g{0,1) ,计算 Ms 的 
密 文 ， 
人 
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如 果 Ap 一 0, 则 Z=e (g g)™ s=c0c,Y= (@ (g:g)*), CG =T;= (g) = (29) =C', 
所 以 C* 是 Ms 的 有 效 密 文 。 

如 果 p=1.Z=8(g.g)*.C’=M, * é(g-g)* ,因为 = 的 随机 性 ,在 看 来 CRG. EH 
随机 元 素 , 不 包含 M; 的 信息 。 

(4) 阶段 2。 与 阶段 1 类似。 

(5) 猜测 。 输出 对 8 的 猜测 8。 如 果 p 一 68， 输出 内 一 0, 表 示 TE wn. WR 
BAB. Hitt po 一 1, 表示 TE wou. 

求 的 优势 与 定理 5-1 相同 。 

(定理 5-3 证 毕 ) 


533 大 属性 集 的 KP-ABE 方案 构造 


在 5.3.2 节 的 方案 构造 中 ,公开 参数 随 着 属性 集 的 大 小 | | 而 线性 增长 。 本 方案 与 
5.2.3 节 类 似 , 取 Z; 为 属性 总 体 , 公 开 参 数 关 于 线性 增长 ,其 中 为 加 密 的 最 大 的 属性 
集 的 大 小 。 通 过 一 个 大 属性 集 上 抗 碰撞 的 哈 希 函数 H: (0:1) 一 Zi ,可 以 把 任意 串 映射 
到 Z; 上 ,在 初始 化 阶段 建立 系统 公开 参数 时 ,不 用 考虑 属性 。 方 案 的 安全 性 仍然 基于 判 
定性 BDH 假设 ( 见 4.3.1 节 )。 

参数 设置 如 下 : g 是 阶 为 素数 p 的 群 G 的 生成 元 , 双 线 性 映射 5: G1 XGi>G,. X} 
iEZ, 及 Z, 中 元 素 的 集合 S , 拉 格 朗 日 系数 定义 为 

s= J 2=2 


jEsSjži t TJ 
方案 中 属性 集 y 由 Z; 中 的 个 元 素 构 成 。 方 案 的 具体 构造 如 下 。 
(1) 初始 化 。 
Init( ):; 
Y RZp; 
gı = 8 +82 <RGis 
ti s**t stm “RGis 


N A {lesn 1}; 
ntl 
TCX) a gk [[ thn ; 
i=1 


params = (gi +82 sti s**t stny )5 


msk = y. 
nH 


其 中 定义 的 函数 TCX) ag? [[ hn 可 看 作 是 存在 某 个 n 次 多 项 式 h(X) 使 得 T(X) = 


gtg”, 
(2) 加 密 ( 用 接收 方 的 属性 y 作为 公开 钥 ,其 中 MEG). 
M): 
S<RZ,; 


CT= (WC =M am = Te 
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注意 ,属性 信息 y 出 现在 密 文 CT 中 。 
(3) 产生 密 钥 。ABEGen( ,msk) 算 法 输入 访问 树 和 主 密 钥 msk ,输出 解密 密 钥 D。 
使 得 当 属 性 集合 y 满足 (7) =1.D 能 够 解密 由 y 加 密 的 密 文 。 
算法 首先 从 根 节点 > 开始 , 自 上 而 下 地 遍历 。 为 每 一 节点 z( 包 括 叶 节 点 ) 选 择 一 个 随 
机 多 项 式 g, ,多 项 式 的 次 数 取 为 d,=k,-1 KP ke 为 节点 并 的 门限 值 ,以 num, 表示 并 的 
子 节点 数 , 则 0 二 ,三 num,。 多 项 式 的 d, 个 非常 数 项 系数 随机 选择 ,而 常数 项 如 下 选择 : 
。 若 zx=r, 令 g,(0)=y。 
© Æ rAr.® qe (0) = qaren (index(x))。 
所 有 节点 的 多 项 式 定 义 完成 后 ,对 于 每 一 个 叶 节点 zx, 随机 选取 r rZ, ,计算 
D, = g7” eT, R, =g 
其 中 i=att(zx)。 解 密 密 钥 为 D={D,.R.}. 
(4) 解密 (用 DD 解密 CT). 
KD 中 包含 访问 树 ,对 的 节点 工 定义 以 下 两 个 集合 
S.: zz 的 所 有 孩子 节点 的 集合 。 
S' 二 {j|z€E5S,,j 二 index(z)}, 即 xz 的 所 有 孩子 节点 的 编号 集合 。 
定义 一 个 递归 算法 DecryptrNode (CT,D,x), 表 示 输 入 为 密 文 CT= (y, C, C”, 
{Ci}iey) 、 解 密 密 钥 D=(D,) (访问 树 为 )、 的 节点 zx, 输出 为 群 G, 上 的 元 素 或 | 。 
车 xz 是 叶 节 点 ,计算 
F, =DecryptNode(CT.D,x) 
èD, C”) EEO +e Tg) eg” 4g!) + eT Dg) 
_ JêR. C) Gy MD) êlg' T °) 如 果 iEy 
=ê (g5g2)"%, 
ue 否则 
若 工 是 非 叶 节点 , 则 对 ES, 的 所 有 和 孩子 节点 ,调用 已 王 DecryptNode(CT,.D,=)。 计 算 
F, = [[ Fes. 
ES, 











= I C8 (gg2 PO ons, © 
ES, 


HTT G Cg ,ge) mmo inex? JAg, 0 
z€S, 


~ seq (DA 0) 
= Tlecg,g:) ee 
2€5, 


=ê lg, g)" O 
其 中 最 后 一 个 等 式 由 在 指数 上 进行 多 项 式 插值 得 到 。 
由 递归 算法 DecryptNode(CT,D,z) 得 解密 算法 如 下 : 
DCCT) : 
F, = DecryptNode(CT.D.r); 
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M=C’/F,. 
这 是 因为 
F, = DecryptNode(CT.D.r) = ê (g.g2.)°" = ê (gs g)" = ê (gi +82)" 
在 选 定 属性 集合 模型 下 ,方案 的 安全 性 可 归 约 到 判定 性 BDH, 
EH 5-4 在 选 定 属性 集合 模型 下 ,如 果 存 在 多 项 式 时 间 的 敌手 以 的 优势 攻破 该 


方案 , 则 存在 另 一 敌手 以 亏 的 优势 解决 判定 性 BDH 问题 。 


证 明 : 挑战 者 做 如 下 设置 。 选 取 群 G1 (包括 其 生成 元 8)、G: 及 双 线 性 映射 e: GX 
Gi >G: ,随机 选取 ju<-k{0,1} ,车 1 二 0, 设 置 
T = (A.B,C.Z) = (0 a e ea] 
车 j==1, 设 置 
T = (A,B.C.Z) = (NY 
其 中 ab、c、x 均 为 随机 数 。 收 到 4 元 组 TT 后 ,通过 与 进行 以 下 游戏 ,以 判断 TE 
gpH 还 是 TE an。 假定 属性 总 体 是 公开 的 。 
游戏 开始 前 ， 首 先 获得 意欲 挑战 的 属性 集合 7, 该 集合 由 Z, 中 的 个 元 素 构成 。 
(1) 初始 化 。 取 公 开 参 数 gı 5ASg ,gs 一 B 二 g', 然 后 随机 选取 一 个 n 次 多 项 式 
SOX) ,构造 另 一 个 次 数 为 n 的 多 项 式 u(X)。 当 XEY 时 ,u(X) 二 一 X"; 当 XKY 时 ， 
u(X)A-—X", 
因为 一 X" 和 ww(X) 是 两 个 n 次 多 项 式 ,要 么 至 多 在 个 点 上 取 值 相同 ,要 么 就 是 完全 
相同 的 。 这 个 构造 确保 了 VX,u(X) 二 一 X", 当 且 仅 当 XEY。 
BEE t= gh gf? ,i 二 1,2,…,n 十 1, 因 为 fA(X) 是 随机 的 nn 次 多 项 式 ,所 以 4 是 独立 
随机 的 。 隐 含 地 有 TH) = git of ,这 是 因为 算法 中 








ntl 
TX) =g¥ [[ hv 
i=1 


n+l 

ES uD, yO fA, y0 

=g} [lg oN BODAN 
=1 


MRE 
= gk" g! gf 


= gy OD gf 
其 中 第 3 个 等 式 由 指数 上 的 插值 得 到 o 
(2) BBC. BF 自 适应 地 对 访问 结构 进行 秘密 钥 产 生 询问 ,要 求 (7) 一 0。 为 
此 ， 需 要 为 中 的 每 一 个 非 叶 节点 产生 一 个 次 数 为 d; 的 多 项 式 qz ,使 得 g,(0) 二 a。 
类 似 于 5. 3. 2 节 小 属性 集合 方案 的 证 明 , 定 义 两 个 函数 PolySat 和 PolyUnsat。 首 
先 运 行 PolyUnsat( ,y,A)。PolySat 和 PolyUnsat 的 终止 条 件 是 遍历 完 的 每 一 个 叶 节 
点 工 , 此 时 为 工 建立 的 多 项 式 为 0 次 , 即 常数 项 。 如 果 ,(7) 二 1, 由 PolySat 知 , 该 常数 项 
等 于 dparent(x) (index(z)); 如 果 -(7) 一 0, 由 PolyUnsat 知 , 该 常数 项 等 于 gormo D 。 
每 个 叶 节 点 工 对 应 的 秘密 钥 如 下 设置 
i i=att(x), 
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。 如 果 iEy, 随 机 选择 -<-AZ，, 计 算 (D. 一 go .T(D=,R- 一 gc)。 
。 如 果 FEY TE geet BEDERE rZ, ,计算 
(D: = gine (gi th gf ) ,R= gino gt) 
根据 w(CX) 的 构造 ,对 于 所 有 CE i" 十 x(i) 值 是 非 零 的 。 
上 面 的 秘密 钥 成 分 是 合法 的 ,因为 如 果 设 定 产 一 必 一 -2 , 则 有 








i" +u(i) 
n iay 
D, 一 gr (gf HOD gD yh 
ARASA 
=g Mo (gF gro já 
-0,0 


=g” (git glo rao (gi ho gh? yh 
w 
a0 


1 
=g; (git gro JE Fa 


=g7” (TG 
R, = gino gt = g Po = gr 








因此 能 够 为 构建 秘密 钥 ,而 且 秘密 钥 的 分 布 和 原始 方案 中 的 秘密 钥 分 布 是 相同 的 。 

(3) 挑战 。 向 提交 两 个 挑战 消息 M 和 Mi。 随机 选 p<-g {0,1) ,计算 Ms 的 密 
X: C* =(7,C' =M; * Z,C”=C, {C,=C™ jiey)。 

如 果 Ap 一 0, 则 Z=ê (g.g)". A C”’=C=e'.C,= (g) =(g"  =T GY GE). 
所 以 C* 是 Ms 的 有 效 密 文 。 

p= 1,Z=é (g.g) C =M, * ê (g,g)*, 因 为 x 的 随机 性 ,在 看 来 C' 是 Gs 中 的 随机 
元 素 , 不 包含 Ms 的 信息 。 

(4) 阶段 2。 与 阶段 1 类 似 。 

(5) 猜测 。 输出 对 8 的 猜测 8’。 如 果 B' 二 8， 输 出 py 二 0, 表 示 TE pons WRB’ AB, 
输出 y= 二 1, 表 示 TE pn. 的 优势 的 计算 与 定理 5-1 相同 。 














(定理 5-4 证 毕 ) 
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在 大 属性 集 的 构造 中 ,一 个 拥有 与 访问 树 相应 的 秘密 钥 的 用 户 能 够 产生 任意 的 与 
比 更 加 受 限 的 访问 树 “( 即 “ 导 ) 相 应 的 新 的 秘密 钥 。 因 此 ,这 个 用 户 能 够 作为 一 个 
本 地 的 密 钥 授权 中 心 给 其 他 用 户 产 生 和 分 配 秘密 钥 。 

对 一 个 已 有 的 秘密 钥 进行 一 系列 基本 操作 ,可 以 得 到 一 个 新 的 秘密 钥 。 这 些 操 作 的 
目标 是 逐步 将 ”的 秘密 钥 转 换 成 “(给 定 “ 己 ) 的 秘密 钥 。 下 面 用 (t,z) 门 表示 门限 数 为 
参与 者 数 为 n 的 门限 门 。 


1. 中 增加 新 门 
这 个 操作 是 在 ”中 已 有 节点 工 之 上 增加 一 个 新 节点 y, 使 得 y 成 为 工 的 父 节 点 ,而 
工 的 父 节 点 (如 果 工 不 是 根 节点 ) 则 变 为 y 的 父 节 点 。 新 节点 y 表示 一 个 (1,1) 门 限 
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门 ,因为 它 的 门限 数 为 1, 只 需 为 其 分 配 一 个 次 数 为 0 的 多 项 式 g,, 使 得 g, (0) = 
gy(index(zx)) 和 g,(0) 二 gq.(index(y))。 第 二 个 条 件 本 质 上 确定 了 q, ,第 一 个 条 件 自 动 
满足 ,因为 > 是 工 原先 的 父 节 点 。 因 而 ,在 这 个 操作 下 不 须 对 秘密 钥 做 任何 修改 。 


2. 处 理 中 已 有 的 (tm 有 门 

这 个 操作 是 处 理 一 个 门限 门 以 使 访问 结构 更 加 受 限 。 有 以 下 3 种 类 型 。 

D (zz 门 到 (z 二 1.2) 门 的 转换 (zt 十 1 和 2) 

设 节点 工 表 示 一 个 (1,n) 门 ,显然 需 将 多 项 式 g, 的 次 数 从 1 一 1 增加 到 cE 
一 个 新 多 项 式 : 

gi:(X) = (X+1)g.(X) 
然后 相应 地 改变 xz 对 应 的 秘密 钥 , 对 于 xz 的 每 一 个 子 节点 y ,计算 常数 C. 一 index(Cy) 十 1， 
对 于 子 树 ,的 每 一 个 叶 节点 = ,计算 新 的 解密 密 钥 : 
D= (D); R= (Re) 

上 面 的 结果 导致 子 树 ,的 所 有 节点 对 应 的 多 项 式 都 要 乘 以 常数 C., 因 此 q, CO) = 
(index(y) 十 1)g,(0) 确 实 是 新 的 多 项 式 4 的 点 ,注意 到 由 于 9%:(0) 一 qz(0), 子 树 ,之 外 其 
他 节点 不 需要 做 任何 变化 。 

2) (1, 如) 门 到 (4 十 1,n 十 1) 门 的 转换 

这 个 过 程 是 在 节点 x 下 添加 一 棵 新 的 子 树 ( 设 以 x 为 根 ) ,同时 节点 x 的 多 项 式 次 数 
增加 1。 令 = 是 xz 的 第 ) 个 子 节点 , 即 index(z)==j, 按 如 下 方式 改变 多 项 式 : 


XY = aX +Dq(X), a= = 


按照 Ci,z) 门 到 (t 十 1,2) 门 转换 的 操作 ,对 于 z 的 每 个 原 有 的 子 节点 y TA ,中 的 多 项 式 
要 乘 以 相应 的 常数 C; 二 a*index(y) 十 1, 以 确保 %(0) 是 多 项 式 % 的 点 。 进 一 步 ,设置 
q: (0) =0(=q; (v)) ,给 定 q.(0), 按 最 初 的 秘密 钥 生 成 算法 产生 子 树 .的 秘密 钥 。 因 此 ， 
所 有 以 zz 的 子 节点 ( 原 有 的 和 新 加 的 ) 为 根 的 子 树 的 秘密 钥 符 合 新 多 项 式 qo 

3) (4,) 门 到 (4,n 一 了 上 ) 门 的 转换 (tn 一 1) 

这 个 操作 删除 z 的 一 个 子 节点 y ,只 要 从 原始 解密 密 钥 中 删除 子 树 ,所 有 叶 节 点 的 
秘密 钥 即 可 。 


3. 对 秘密 钥 的 重新 随机 化 

在 利用 上 述 的 门 转换 操作 获得 所 要 求 的 访问 结构 的 秘密 钥 后 .需要 对 其 进行 重新 随机 
化 操作 ,以 使 新 秘密 钥 独立 于 产生 它 的 原始 秘密 钥 。 用 常数 C; 对 节点 工 的 重新 随机 化 操作 
如 下 进行 : 选择 一 个 次 数 d 的 多 项 式 p, ,使 得 p. (0) 一 C,, 定 义 一 个 新 多 项 式 gq.(X) 一 
qz(X) 十 p(X) ,改变 秘密 钥 使 得 q 成 为 节点 z 的 新 多 项 式 。 可 以 通过 递归 地 用 常数 C, = 
pr(index(y)) 对 工 的 每 一 个 子 节点 y 重新 随机 化 ,如 果 y 是 叶 节 点 ,相应 的 解密 密 钥 改 为 

D,= D, e g& T”, Ry=R,+ g> 

其 中 i=att(y),r,<kZp。 

最 后 ,对 根 节点 x 用 常数 C, 一 0 进行 重新 随机 化 。 

可 以 证 明 上 面 的 操作 是 完备 的 , 即 给 定 一 个 访问 树 ” 对 应 的 秘密 钥 , 上 述 操 作 足 以 能 
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够 计算 任意 比 ” 更 加 受 限 的 访问 树 “( “ 丑 ) 对 应 的 新 秘密 钥 , 证 明 过 程 略 。 
535 KP-ABE 的 应 用 


1. KP-ABE 在 审计 日 志 中 的 应 用 

KP-ABE 的 一 个 重要 应 用 是 安全 的 电子 取证 分 析 , 以 及 对 系统 或 网 络 审计 日 志 的 保 
护 。 审 计 日 志 是 指 对 需要 保护 的 系统 或 网 络 , 记 录 其 上 发 生 的 所 有 的 、 详 细 的 活动 行为 ， 
因而 审计 日 志 会 成 为 敌手 攻击 的 有 价值 的 目标 。 对 审计 日 志 的 保护 仅仅 加 密 是 不 够 的 ， 
因为 需要 为 合法 访问 审计 日 志 内 容 的 分 析 者 分 配 秘密 钥 , 因 此 本 质 上 给 了 他 访问 整个 网 
络 上 秘密 信息 的 权限 ,几乎 每 一 个 安全 系统 都 存在 这 样 的 安全 问题 。 

KP-ABE 系统 对 审计 日 志 安全 问题 提供 了 极 具 吸引 力 的 解决 方法 。 审 计 日 志 的 内 容 
能 够 用 诸如 用 户 的 名 称 、 用 户 活动 的 日 期 和 时 间 、 用 户 修改 数据 的 类 型 .用 户 存 取 数 据 的 
类 型 等 属性 标注 ,然后 对 取证 分 析 者 签发 一 个 与 特定 结构 相关 联 的 秘密 钥 , 从 而 允许 他 对 
特定 类 型 的 加 密 数据 进行 搜索 。 比 如 说 ,这 个 秘密 钥 仅 能 够 打开 标注 属性 满足 条 件 的 审 
计 日 志 记 录 。 并 且 系 统 能 够 保证 即使 多 个 恶意 分 析 者 共 谋 ,也 不 能 从 审计 日 志 中 提取 未 
授权 的 信息 。 


2. KP-ABE 在 广播 加 密 中 的 应 用 : 定向 广播 

考虑 如 下 场景 : 广播 者 广播 一 系列 节目 ,每 一 个 节目 用 不 同 的 属性 集合 标记 ,例如 属 
性 包括 节目 名 称 、 类 型 ( 指 新 闻 、 电 视 剧 、 戏 剧 等 )、 季 节 、 节 目 号 年 月 日 、 当 前 的 年 月 日 . 导 
演 的 姓名 、 制 片 公司 名 称 。 

每 一 个 用 户 订阅 不 同 的 节目 包 。 用 户 包 描述 一 个 访问 策略 ,决定 该 用 户 能 否 访问 这 
个 内 容 。 

定向 广播 的 基本 思想 是 享有 广播 通信 所 提供 的 规模 效应 ,同时 还 能 传送 个 人 用 户 希 
望 和 需要 的 内 容 。 

KP-ABE 加 密 方 案 自然 地 提供 定向 广播 通信 : 选择 一 个 对 称 密 钥 , 用 于 加 密 要 广播 
的 每 一 个 数据 项 ,然后 用 KP-ABE 方案 及 数据 项 的 属性 加 密 这 个 对 称 密 钥 。 


54 一 种 基于 密 文 策略 的 属性 加 密 方案 








本 节 介绍 Waters 提出 的 CP-ABE 方案 后 ,其 中 在 密 文中 指定 访问 结构 ,在 密 钥 中 指 

定 属性 集合 ,只 有 当 密 钥 的 属性 集合 满足 密 文 所 指定 的 访问 策略 时 才能 解密 。 方 案 中 的 
访问 结构 采用 张 成 方案 ,用 来 实现 指数 上 的 秘密 分 割 。 具 体 来 说 ,每 次 加 密 时 ,选取 一 个 
随机 指数 ,根据 张 成 方案 M 将 ;分割 为 秘密 份额 ,并 将 每 个 份额 指定 给 一 个 属性 。 因 为 张 
成 方案 得 到 的 秘密 分 割 是 线性 的 ,下 面 将 M 称 为 LSSS(Linear Secret Sharing Scheme) 结 构 。 
以 前 的 ABE 方案 都 遵循 “分 割 策略 ?来 证 明 安全 性 , 即 归 约 算法 在 设置 安全 参数 时 知 
道 它 需要 分 发 的 所 有 秘密 钥 , 但 是 不 能 提供 解密 挑战 密 文 的 秘密 钥 。 在 KP-ABE 机 制 
中 ,挑战 密 文 与 一 个 属性 集合 S 相关 联 。 建 立 归 约 时 ,对 每 个 属性 ,根据 其 是 否 在 S 中 ， 
分 两 种 情况 求 它 对 应 的 公共 参数 ,因此 很 容易 地 将 S* RAVAN. E CP-ABE 中 情况 会 
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复杂 一 些 , 因 为 密 文 可 能 会 与 一 个 很 大 的 访问 结构 M * 相关 联 ,而 且 一 个 访问 结构 可 能 多 
次 包含 同一 个 属性 。 通 常 ,M 的 规模 会 比 公共 参数 的 规模 大 很 多 。 因 此 ,没有 简单 的 方 
法 将 访问 结构 编程 到 参数 中 。 

本 方案 的 归 约 中 ,创建 了 一 种 直接 将 任何 LSSS 结构 M* 嵌入 到 公共 参数 的 方法 。 模 
拟 器 能 够 对 挑战 密 文 的 LSSS 矩阵 M" 进行 编排 (在 选 定 访问 结构 的 模型 下 )。 考 虑 一 个 
KINA E Xn” 的 LSSS 结构 M ,对 于 它 的 每 一 行 i, 模 拟 器 将 4 个 信息 片段 (Mi ， 
Miest ,Mi,) 编 排 到 该 行 的 属性 相关 联 的 参数 中 ,编排 方法 使 用 d-parallel BDHE 假设 。 


541 判定 性 并 行 双 线性 Diffie-Hellman 指数 假设 


定义 判定 性 的 并 行 双 线性 Diffie-Hellman 指数 (g-parallel Bilinear Diffie-Hellman 
Exponent,g-parallel BDHE) 问 题 如 下 。 设 G, .Gs 是 两 个 阶 为 素数 p 的 乘法 循环 群 ,g 是 
G1 的 生成 元 , 双 线 性 映射 E: Gi XG 一 G,。 随 机 选择 a,s ,by ,… ,b=<Zs ,公开 
Y={g8 greg", wee age 
Vich sg gg yee 


°°, /bj woe a? «seb, /b; } 


Vv 1<j.k<q kif” 8 


判定 性 q parallel BDHE 假设 是 指 不 存在 多 项 式 时 间 的 算法 以 不 可 忽略 的 优势 区 分 
parallel BDHE ~ { CF egg) AM epail BDHE = {$ (Y R) 的 分 布 ,其 中 尺 是 G* 中 的 随机 
元 素 。 
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参数 设置 如 下 : g 是 阶 为 素数 p 的 群 G1 的 生成 元 , 双 线 性 映射 6: Gi. X GiG JB 
性 总 体 记 为 ,大 小 记 为 | | 。 
方案 构造 中 ,输入 一 个 LSSS 的 访问 和 矩阵 M ,然后 根据 M 分 发 一 个 随机 指数 SEZ, 
(1) 初始 化 。 
histtsh| | <rGis 
ayQ < RZ yi 
params = (g,€ (g.g)°.g* shi ssh] | ); 
msk = g*. 
(2) 加 密 。 加 密 算 法 的 输入 除了 params 和 待 加 密 的 消息 ME Gs。 外 ,还 输入 用 于 
LSSS 的 张 成 方案 (M ,o) ,其 中 M 是 一 个 ZX7 矩阵 ,函数 o HM 的 行 指定 属性 。 
CCM, 0) ,params, M): 
T= (sya Yn) <RZ23 
A; = 0 °M;G 一 1,… 0); 
Tist sre RS 
CT = (C=M.é(g,g)",C = g',(C = g^ hg Di = g), 
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(Cy = gh ,Ds = g")). 
其 中 ,可 二 (5,ys，… ,ys)<RZ; 用 来 分 割 加 密 指 数 s ,4; 二 人 可 Mi(i 二 1,2,…,《) 是 分 割 * 得 
到 的 第 i 个 份额 ,C;(i 二 1,2,… ,0) 将 24; 关联 到 第 pO 个 属性 。 
(3) 产生 密 钥 。ABEGen(msk,S) 算 法 的 输入 为 主 密 钥 msk 和 属性 集合 S. 
ABEGen(msk.S) : 
t<RZ,; 
K = g'g" ,L = g',K, =hi(Wz € S); 
SK = (K,L,K,(z € S)). 
(4) 解密 。Decrypt(CT,SK) 算 法 的 输入 为 访问 结构 (M ,o) 对 应 的 密 文 CT 、 属 性 集 
合 S 对 应 的 秘密 钥 SK ,假定 S 满足 访问 结构 。 定 义 I= {i:p(i)ES}C{1,2,…,l), 令 
(co, © Zp | iE) AERE (A, ERRE E s 对 应 于 M 的 有 效 份额 , 则 Yeas 一 (注意 ww 的 
i€ 


选择 不 唯一 ) 。 














ater: 
TI @CG.L) + êD, Kp D)“ 
返回 C 。 iET - 
é(C’.K) 
这 是 因为 
TL GL) + @0D; Kx) Tlé pes 
iET iET 1 
é(C’.K) (gg elgg) é(g.g)” 


证 明 系 统 安全 性 的 重要 一 步 是 在 归 约 过 程 中 将 挑战 密 文 编排 到 公共 参数 中 ,障碍 是 
一 个 属性 可 能 会 与 敌手 意欲 挑战 的 访问 矩阵 中 的 多 行 相关 联 ( 即 函 数 p 不 是 单 射 )。 这 种 
情况 类 似 于 一 个 属性 出 现在 访问 树 上 的 多 个 叶 节 点 上 。 

例如 p* GD) 一 z, 则 归 约 时 应 基于 M 的 第 i 行 编排 h,。 假 如 存在 i 隆 j ,使 得 z= 
0G) =e) ,那么 如 何 编排 h, 而 不 使 得 第 i 行 和 第 j 行 产生 冲突 是 要 解决 的 问题 。 通 过 
使 用 parallel BDHE 假设 中 的 不 同 项 可 解决 这 个 问题 。 

定理 5-5 在 选 定 访问 结构 模型 下 ,如 果 存 在 多 项 式 时 间 的 敌手 以 的 优势 攻破 该 


方案 , 则 存在 另 一 敌手 以 亏 的 优势 解决 判定 性 9- parallel BDHE 假设 。 


证 明 : 挑战 者 做 如 下 设置 : 选取 两 个 乘法 循环 群 G;( 包 括 其 生成 元 8)、Gs: 及 双 线 性 
映射 6: Gi X Gi >G ,随机 选择 a,s,b ott by RZ, ,公开 


+2 2a 


af a 


Y = (ere 8 ,sg sg sgt 
Vicieg setts sgt, gy cane ees 
Vv Sie pe lita } 
随机 选取 pp (0.1) Æ w= 0. Z= (gg)o RR T= (六 ,2Z); 车 1 二 1, 取 2Z< 
G, BH T=(y-Z). 
收 到 多 元 组 工 后 ,通过 与 进行 以 下 游戏 ,以 判断 TE ,waasone 还 是 TE 
q parallel BDHE © 


游戏 开始 前 ， 首 先 获得 意欲 挑战 的 访问 结构 (M* ,p* ) ,其 中 M* 有 罗列 。 
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D 初始 化 。 选择 随机 数 a rZ IHR elgg e (g,g)*, 令 其 等 于 2 Cg,g)", 则 
隐 舍 地 设置 了 a==a +a, 
按 以 下 方式 编排 群 元 素 hh ,h,,… ,hl | 。 对 于 每 一 个 z(1 三 x 三 | |) 都 选择 一 个 对 
应 的 随机 数 x; , 令 X EE o (i) 二 xz 的 指标 i 的 集合 。 求 ha: 
hy = g [[ gin «gt Mal sage Mine /6 
i€X 
由 于 g* 的 随机 性 ,h, 是 随机 分 布 的 。 如 果 X= SO MA h =g 
(2) 阶段 1。 对 不 满足 矩阵 M 的 集合 S 做 秘密 钥 提 取 询 问 。 选择 随机 数 rr 
Z, , 求 向 量 T= Cw, wr ew, EZ. 使 得 w= 一 1 且 对 所 有 满足 p* DESHI + 
M? =0. FH LSSS 的 定义 知 这 样 的 向 量 一 定 存在 ,否则 向 量 (1,0,0,…,0) 在 S 的 张 成 空 


WP RL = g [[ (oe EEF g', 因 而 隐 含 地 定义 了 1 为 
i=1 
r+ wat + wa™ + wat + 


通过 这 样 定义 1, 可 以 使 得 gA g ,这 样 在 构造 K 时 就 可 以 消 掉 未 知 项 g"。 
就 能 按照 如 下 方式 计算 K : 


K=g"e" 条 (ee 
i=2 

MEXR YES HR K, HEREN ce S, 没 有 i 使 得 po" (站 = 二 x 时 的 情况 。 这 时 
可 以 简单 地 令 KSL. 

当 xzES, 且 有 多 个 i 使 得 p* (= 工时 。 由 于 不 能 模拟 g ,因此 必须 保证 K, 的 
表达 式 中 没有 包含 形 如 g* h, RAAM 放 一 0, 所 以 这 种 形式 的 所 有 式 子 都 
能 被 消 掉 。 

再 次 令 X 表示 使 得 p* DSa 的 指标 i 的 集合 ， 可 以 按照 下 式 构造 Ka: 

n? Mij 
K, =u TT i (em I qg =} 


i€X j=1 。 
k=l, yn 
kAj 


(3) 挑战 。 向 提交 两 个 挑战 消息 Mo AIM o 随机 选 8<-g{0,1} ,计算 Ms 的 密 文 
的 各 分 量 : CHM, * Z + elgg MC =e". 

FER (G.D) (i 二 1,2,…,l) 时 ， 选 择 随机 数 ys ,…',y… ,使 用 下 面 的 向 量 来 对 进 
行 秘密 分 割 : 

T= (s,sa 十 yo ,sa? + yyee esa” + yi" ye Zz 

此 外 ， 选 择 随机 数 ri eres er, MF i=l. 2. n ,定义 Ri 为 满足 k 关 i 而 使 得 
e =p" (8) 的 所 有 的 集合 , 即 与 第 i 行 具有 相同 属性 的 其 他 行 的 行 指标 集合 。 挑 战 
密 文中 的 (C;,D;) 如 下 生成 : 


3, 


D= gg 
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(4) 阶段 2。 与 阶段 1 类 似 。 

(5) 猜测 。 输出 对 8 的 猜测 8“。 Bp’ =p. 输出 y= 二 0, 表 示 TE paralla Bone ;如 果 
BAB. HH yw 一 1, 表示 TE pple Bone 。 

求 的 优势 与 定理 5-1 相同 。 (定理 5-5 证 毕 ) 
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前 面 构造 的 ABE 方案 仅仅 是 选择 性 安全 的 ,本 节 介绍 Lewko 等 提出 的 利用 对 偶 系 
统 加 密 方法 实现 的 CP-ABE 的 全 安全 方案 中 。 利 用 对 侦 加 密 系统 实现 ABE 方案 的 主要 
挑战 是 密 钥 和 密 文 结构 的 丰富 性 。 在 IBE 或 HIBE 系统 中 , 密 钥 和 密 文 与 相同 类 型 的 简 
单 对 象 (身份 ) 相 联系 。 而 在 ABE 系统 中 , 密 钥 和 密 文 所 联系 的 对 象 (属性 和 访问 结构 ) 要 
复杂 得 多 。 本 节 的 方法 用 对 偶 系统 加 密 方法 解决 分 离 式 策略 带 来 的 问题 ,实现 方式 仍然 
是 利用 3 个 不 同 素数 相 乘 的 合 数 阶 群 ,将 密 文 和 密 钥 取 两 种 不 可 区 分 的 形式 : 正常 的 和 
半 功能 的 。 安 全 性 假设 和 证 明 方法 与 4. 6 节 相同 ,安全 性 证 明 依赖 于 一 个 限制 每 个 属 
性 用 于 标记 访问 矩阵 的 行 时 只 能 用 一 次 ,这 是 因为 敌手 不 能 对 挑战 密 文 进行 解密 密 钥 询 
问 ,在 敌手 看 来 名 义 上 半 功 能 密 钥 和 普通 半 功能 密 钥 是 相同 分 布 的 。 当 属性 多 次 使 用 时 ， 
从 信息 论 的 角度 ,名 义 上 半 功 能 密 钥 和 普通 半 功 能 密 钥 是 相同 分 布 的 结论 不 成 立 。 

参数 设置 如 下 : 设 G 是 阶 为 N= p paps 的 双 线性 群 ,其 中 户 pe ps 是 3 个 不 同 的 素 
数 ,Gs Gn, AIG, 分 别 表示 群 G 中 阶 为 和 .2 和 ps 的 子 群 。 双 线性 映射 2%; G1X G1 一 
Gs。 属性 总 体 记 为 ,大 小 记 为 | | 。 

方案 构造 中 ,输入 一 个 LSSS 的 访问 矩阵 M ,然后 根据 M 分 发 一 个 随机 指数 ;€ 2。 

(1) 初始 化 。 

Init( U): 


aa <RZ, 





g RG», 5 
Si rZ (i€ ); 
params = (N.g.g*.é (gg). T; = gi( Vie )),msk =a. 
(2) 产生 密 钥 (其 中 SS 为 属性 集 ) 。 
ABEGen(S.msk) : 
L<RZNw3 
(Ro +Ro+R:) <RrGp, 3 
SK = (S,K = ge Royi = g'Ro.K; = TRAV € S)). 
(3) 加 密 。 
加 密 算法 的 输入 除了 params 和 待 加 密 的 消息 ME Gs 外 ,还 输入 用 于 LSSS 的 张 成 
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方案 (M ,p) ,其 中 M 是 一 个 LXn 矩阵 ,函数 6 为 M 的 行 指定 属性 。 
CCM ,o) ,params, M): 
T = (sv Vs) RZN; 
à: = 7 Mi(i= 1,2,.,0); 
risre oTe RZLp; 
CT=(C=M.é(g,g)",C = g',(C = gm Tin Dy = g"), e, 
(Ce = g™T pt De = 8)). 
HP, T= (ssu ru) r ZAHRA EE s ,4; 二 可。Mi (i 二 1,2,…,《) 是 分 割 ; 得 
到 的 第 i 个 份额 ,C;(i 二 1,2,…,0) 将 ;关联 到 第 oO 个 属性 。 
(A) 解密 。Decrypt(CT,SK) 算 法 的 输入 为 访问 结构 (M ,p) 对 应 的 密 文 CT、 属 性 集合 
S 对 应 的 秘密 钥 SK BE S 满足 访问 结构 。 定 义 [={i:p(D)ES}C(1,2,…,0}), 令 {wi€E2Z,| 
IEI) ,使 得 如 果 {24;) 是 秘密 值 ; 对 应 于 M 的 有 效 份额 , 则 > oj; = s( 注 意 w 的 选择 不 
iET 
sk (CT): 
TI CC,L) + êD Ky) 
返回 C. 84 





é(C’,K) 
这 是 因为 
2(CL) = ê (g™T Ko og'Ro)= ê (g™ sg')ê (T woog) = ê (ergy ritmo 
2 (Di Kun J= Elet T hn Re) = 2 (8% To = lege 


TLEL) + êD: Kyo)" = 8g gE = 8g sg)" 


iET 


é(C’.K) = é(g' .g*g“Ry) = êlg' g'g”) = eg. g)™ + (gs 8) 











所 以 
TI EGL) » êD: Kyo)“ Tecg, pas 
iET i€T 1 
é(C’.K) é(gsg)" » é(gsg)* e(g.g)” 
TG, 在 方案 中 的 作用 与 4. 6 节 一 样 。 为 了 证 明 方案 的 安全 性 ,首先 给 出 半 功 能 密 
钥 和 半 功 能 密 文 的 产生 方式 。 


半 功 能 密 文 可 按 如 下 方式 构造 : 首先 ,利用 加 密 算法 生成 正常 的 密 文 (Co ,C1,C';， 
Di(Gi 一 1,2,…,0)。 设 gz 是 子 群 Go 的 生成 元 ,c 是 模 N 的 一 个 随机 指数 。 选 取 随机 值 
zi<RZN 与 第 i 个 属性 关联 ,随机 值 X < 一 RZx 与 矩阵 第 ; 行 关 联 ,再 选 一 个 随机 向 量 <— RZ 。 
然后 计算 Su + M; (i= 1.2.7.0) & 

G= G =e. Geers D= Die (t=) G1) 
(Co Ci s (CiD: ) (i 二 1,2,… ,4) ) 即 为 半 功 能 密 文 。 
半 功 能 密 钥 取 两 种 类 型 。 首 先 , 利 用 密 钥 生 成 算法 生成 正常 的 密 钥 
(K' ,L'sK'i(ViE S)) 
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类 型 一 的 产生 如 下 : 选取 随机 指数 d4,6<-kZw ,计算 
(K = K'g$.L = L'g$.K; = Ker (iE S)) 
即 为 第 一 类 半 功 能 密 钥 ,其 中 x, 与 半 功 能 密 文中 的 一 样 。 
类 型 二 的 产生 如 下 : 选取 随机 指数 d<-gZn ,计算 
(K = K’g#.L = L’,K; = Ki(Vi€ S)) 
即 为 第 二 类 半 功 能 密 钥 。 可 将 第 二 类 半 功 能 密 钥 看 作 第 一 类 半 功 能 密 钥 中 的 4 取 0。 
设立 的 第 一 个 元 素 为 mm， 有 之 0 一 = ww。 如 果 用 半 功 能 密 钥 解 密 半 功能 密 文 , 则 会 


产生 额外 的 盲 化 因子 e Cg, g2 a 。 在 半 功 能 密 文 和 第 一 类 半 功 能 密 钥 中 ,x; 的 值 是 相 
同 的 , 当 半 功能 密 钥 和 半 功 能 密 文 配对 时 ,= 项 可 被 删除 ,因此 它 不 妨碍 解密 。 其 作用 是 
在 半 功 能 密 文中 隐藏 对 wu 秘密 分 割 时 的 份额 Qi (i 二 1,2,…,L))。 这 就 是 每 个 属性 仅 使 
用 一 次 的 原因 所 在 ,攻击 者 得 到 一 个 类 型 一 的 半 功 能 密 钥 ,不仅 不 能 解密 挑战 密 文 , 也 不 
能 获得 >, 的 太 多 信息 。 如 果 属 性 被 使 用 多 次 , 太 多 >; 的 值 会 暴露 给 攻击 者 。 所 以 在 下 面 
定义 的 游戏 中 ,最 多 一 个 密 钥 是 类 型 一 的 半 功 能 密 钥 ,其 他 都 是 类 型 二 的 。 从 而 防止 
z: 值 的 信息 泄露 。 

如 果 bu 一 cd 二 0, 则 称 类 型 一 的 半 功 能 密 钥 是 名义 上 ” 半 功 能 的 。 当 “名 义 上 ” 半 功 
能 的 密 钥 解密 相应 的 半 功 能 密 文 时 ,解密 成 功 。 

下 面 用 第 4 章 的 假设 1 一 3 通过 一 系列 混合 游戏 证 明 方案 的 安全 性 。 第 一 个 游戏 
Expren 是 真实 游戏 (其 中 密 文 和 所 有 的 密 钥 是 正常 的 )。 下 一 个 游戏 Exp。 中 ,所 有 的 密 钥 是 正 
常 的 ,但 挑战 密 文 是 半 功 能 的 。 用 g 表示 攻击 者 的 密 钥 询问 次 数 。 对 从 1 到 9, 定义 

。 Exper: 其 中 挑战 密 文 是 半 功 能 的 ,前 A 一 1 个 密 钥 是 第 二 类 半 功 能 的 ,第 & 个 密 

钥 是 第 一 类 半 功 能 的 ,其 余 密 钥 都 是 正常 的 。 

。 Expy: 其 中 挑战 密 文 是 半 功 能 的 ,前 & 个 密 钥 是 第 二 类 半 功 能 的 ,其 余 密 钥 都 是 

正常 的 。 

注意 到 在 Exp,.: 中 所 有 的 密 钥 都 是 第 二 类 半 功 能 的 。 

在 最 后 一 个 游戏 Expru 中 ,所 有 密 钥 都 是 第 二 类 半 功 能 的 , 密 文 是 一 个 随机 消息 的 半 
功能 加 密 ,与 攻击 者 提供 的 两 个 消息 无 关 , 所 以 在 Expr 中 攻击 者 的 优势 为 0。 下 面 4 个 
引 理 将 证 明 这 些 游 戏 是 不 可 区 分 的 。 其 中 用 Exp。 表示 Expo, o 

引 理 5-1 如果 存 在 敌手 ,能 以 的 优势 区 分 Exp。 和 Expren， 则 存在 敌手 ,能 以 

的 优势 攻破 假设 1。 
ER: CA D=O XOM T. HB TARAG, y BERAG, Mie 模拟 与 
之 间 的 游戏 Expren 或 Exp。。 随机 选取 指数 a,a<-kZw, 且 对 每 个 属性 i 选取 随机 指数 
Site Zr， 构造 如 下 的 公共 参数 和 主 密 钥 ,将 公共 参数 发 送 给 。 
params = (N.¢g.¢*.é(g-g)".T; = gi(Vi€ U)), msk=a 
可 用 自己 生成 的 主 密 钥 ,通过 密 钥 生成 算法 为 的 密 钥 询问 生成 正常 密 钥 。 
给 两 个 消息 Mo M 和 一 个 访问 矩阵 (M* ,o) 。 为 了 产生 挑战 密 文 ， 隐 含 地 设置 
E NT WG, BI BRM TSF gC, MASE g EG, MG, 中 某 一 元 素 的 乘积 )。 
选择 一 个 随机 数 Bp {0.1}. 
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C= M; -êg T), C=T 

为 了 对 M 的 每 一 行 i 产生 (C;,D;)， 先 随机 选取 vs,…,v<-gZn AER to’ SA, 
Vy sv/)。 选 择 一 个 随机 数 vi<eZy OAH MF G=1,2, OG = TT He , 
D:=T*. 

(CDO PRAHA T= (ssu, sv) 和 ;二 ris 。 在 对 人 可 和; 做 模 pi 运算 时 , 立 
是 随机 向 量 (第 一 个 元 素 为 *) ,x; 是 一 个 随机 值 。 因 此 如 果 TEG, ,这 是 一 个 正常 密 文 。 

如 果 TEG, », ,用 号 表示 工 的 G。 部 分 ( 即 T 一 gg2), 则 以 上 构造 的 是 一 个 半 功 能 
BI, HRS. DER, uU =cav’ oY, = Cri Zea = Siro 虽然 再 次 使 用 了 G， 中 的 值 ,然而 
不 会 导致 不 必要 的 相关 性 , 即 avu rhs San 在 模 po 下 与 模 pi 下 是 不 相关 的 ,因此 
这 是 一 个 正确 的 半 功 能 密 文 。 所 以 ， 可 以 根据 的 输出 区 分 工 的 两 种 不 同情 况 。 

GIH 5-1 证 毕 ) 

引 理 5-2 ”假设 存在 一 个 攻击 者 .能 以 的 优势 区 分 Exp... M Exp o WEEKE 
,能 以 接近 的 优势 攻破 假设 2 。 

证 明 : 已 知 D=(Q,g,.X)X2.X3.Y2Y) MT, 判断 工 是 取 自 G BERAG, s 。 

模拟 与 之 间 的 交互 式 游戏 Expy-1.2 3% Expy. 如 下 : 随机 选取 指数 aya<ARZN ,为 每 
个 属性 i 选取 随机 指数 s;<-kZw ,构造 如 下 的 公共 参数 和 主 密 钥 ,并 将 公共 参数 发 送 给 。 

params = (N.g.g*,é@(g.g)°.T; = gi(Vi€ )), msk=a 

为 使 前 & 一 1 个 密 钥 是 第 二 类 半 功 能 密 钥 ， 在 应 答 每 个 密 钥 询问 时 ,首先 选取 一 个 随 

机 值 :<-kZn、 子 群 G6 的 随机 元 素 Ro ,Ri, 令 
K = gg YY LR Kr= TRC ES) 

HH t ER pe FSR pi 下 不 相关 , 模 ps 下 与 模 p 下 也 不 相关 ,以 上 密 钥 是 正确 分 
布 的 半 功 能 密 钥 。 对 & 以 后 的 密 钥 ， 可 根据 自己 设 定 的 主 密 钥 ,运行 密 钥 生 成 算法 ,生成 
正常 密 钥 。 

对 第 个 密 钥 ， 随 机 选取 G,, 的 元 素 Ro, Ro Rie 

K=g°T’Ro, L=TRo, Ki = TRi(Vi€ S) 

因此 隐 含 地 设置 g SFT WG, 部 分 。 如 果 TEG a ,这 是 一 个 正确 分 布 的 正常 密 钥 。 
如 果 TEG ,这 是 一 个 类 型 一 的 半 功 能 密 钥 ,其 中 , 隐 含 地 设置 了 Ss. WRH gh 表示 
工 的 Go。 部分, 则 在 模 如 下 有 d=ba il K WG, Bare gh LNG, MAE oh Ki 的 
Gy, 部 分 是 gh), HER x; mod ps 与 s; mod pi 是 不 相关 的 。 

给 两 个 消息 MM, 和 一 个 访问 矩阵 (M * ,p)。 为 了 构造 半 功 能 的 挑战 密 文 , 隐 
含 地 设置 og =X, ,gi 一 Xs ,随机 选取 zw oes ue Zn o E ME a’ = (asus sun) ,选取 
一 个 随机 指数 rr} Zy Aa Su e MG 一 1.2.,…:, 0) 及 挑战 密 文 如 下 : 

C= C S a 
(E = GAA hs D = A) 
与 式 (5.1) 比 较 , 密 文 的 构造 已 隐 含 地 设置 了 信 二 sa u A = cu, A s 在 子 群 
Ga 中 被 分 割 ,ca ETG, PRSH. BERRET r, =r: V= cr, WRB kS 
密 钥 是 类 型 一 的 半 功 能 密 钥 , 则 zy = spew。 
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第 个 密 钥 和 密 文 是 几乎 正常 分 布 的 ,除非 的 第 一 个 坐标 ac 与 a mod p: 相关 ,如 
果 第 个 密 钥 是 半 功 能 的 ,a mod p 也 出 现在 其 中 。 事 实 上 ,如 果 第 个 密 钥 可 以 解密 
挑战 密 文 , 则 buy —cd=bea—cha=0 mod ps, 因 此 密 钥 不 是 正常 的 就 是 名 义 上 半 功 能 的 。 
这 个 结果 对 攻击 者 是 隐藏 的 ,攻击 者 不 能 询问 可 以 解密 挑战 密 文 的 密 钥 。 

挑战 密 文中 被 分 割 的 G,, 上 的 值 是 信息 理论 上 隐藏 的 ,为 了 论述 这 个 结论 ,要 求 属性 
在 标记 和 矩阵 的 行 时 只 能 使 用 一 次 。 因 为 第 个 密 钥 不 能 解密 挑战 密 文 ,由 和 矩阵 的 行 ( 对 应 
的 属性 在 密 钥 中 ) 组 成 的 行 空 间 R 不 包括 向 量 (1,0,…,0)。 意 味 着 存在 某 个 向 量 蔬 与 行 
空间 R 正 交 , 与 向 量 (1,0,…,0) 不 正 交 。 固 定 一 个 包括 向 量 © IE. = fw tu" p 
SEZ y, U BREF Ww 的 基 元 素 上 生成 的 ( 达 是 均匀 随机 分 布 的 ) 。 注 意 之 不 会 泄露 
三 的 信息 ,om 王公。(1,0,…,0) 不 能 单独 地 从 这 确定 ,而 是 需要 f 的 一 些 信息 ,因为 向 量 
o 与 (1,0,…,0) 不 正 交 。 然 而 相应 于 行 (其 属性 在 密 钥 中 ) 的 分 割 份额 仅 显示 达 信 息 , 因 
KAR w 5 REX. 

ff 如 只 出 现在 表达 式 M i 人 十 Yizxw 中 ,其 中 p( 让 是 不 出 现在 第 个 密 钥 中 的 唯一 
属性 。 只 要 每 个 y: mod p: 不 为 0, 每 个 等 式 引 入 了 一 个 在 其 他 地 方 不 会 出 现 的 新 未 知 量 
zox5， 所 以 攻击 者 得 不 到 关于 了 的 任何 信息 。 更 确切 地 说 ,对 w 的 每 个 潜在 值 ,该 等 式 都 
有 相等 数量 的 解 , 因 此 每 个 值 是 等 可 能 的 。 所 以 只 要 每 个 y; mod ps 不 为 0, 在 半 功 能 密 
文中 ,在 Gu 上 被 分 割 的 值 是 信息 论 隐藏 的 。 而 y mod ps 为 0 的 概率 是 可 以 忽略 的 。 因 
此 在 攻击 者 看 来 密 文 和 密 钥 以 接近 1 的 概率 是 正常 分 布 的 。 

因此 如 果 TE Gs。, ， 正 确 模拟 了 Expr. MAR TEG 且 所 有 y; mod ps IE 0, E 
确 模拟 了 Exper. A 可 用 的 输出 能 以 接近 的 优势 攻破 假设 2。 

( 引 理 5-2 证 毕 ) 

引 理 5-3 ”假设 存在 一 个 敌手 ,能 以 的 优势 区 分 Exp M Exp. WUE ,能 
以 的 优势 攻破 假设 2。 

证 明 : CA D= Ng, X Xo XYY DMT, 判断 了 是 取 自 G 还 是 取 自 G， p 。 

模拟 与 之 间 的 交互 式 游戏 Exp... Exp WF : 随机 选取 指数 a,a<-kZw ,为 每 个 
属性 ;选取 随机 指数 se 一 ZN ,构造 如 下 的 公共 参数 和 主 密 钥 ,并 将 公共 参数 发 送 给 。 
params = (Ng'g",e(g,g) T; =g" = (Vi€ )), msk=a 
前 & 一 1 个 第 二 类 半 功 能 密 钥 、 第 个 以 后 的 正常 密 钥 以 及 挑战 密 文 的 构造 与 引 理 5-2 相 
同 。 意 味 着 在 密 文中 分 割 Gw 上 的 值 ac。 这 时 密 文 与 密 钥 不 相关 ,因此 ac mod p: 是 随 
机 的 (注意 a mod p, 和 a mod p: 不 相关 )。 
第 & 个 密 钥 的 构造 与 引 理 5-2 相同 ,但 另外 选取 随机 指数 AP<RZN , 令 
K = g'T'R,(Y:Y;), L= TR), K; = TéR,(Vi € S) 
即 比 引 理 5-2 在 K 上 多 加 了 (YsYs)* 项 ,使 得 K 的 Go 部 分 被 随机 化 ,因此 密 钥 不 再 是 名 
义 上 半 功 能 的 。 如 果 用 它 解密 半 功 能 密 文 , 则 解密 失败 (不 再 有 bui —cd=0 mod p: 的 删 
除 效果 ) 。 

WR TEG, », ,这 是 一 个 正确 分 布 的 第 二 类 半 功 能 密 钥 。 如 果 TE G ,这 是 一 个 正 
确 分 布 的 第 一 类 半 功 能 密 钥 。 因 此 可 用 的 输出 能 以 的 优势 攻破 假设 2。 

GIH 5-3 证 毕 ) 
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引 理 5-4 如果 存 在 一 个 攻击 者 ,能 以 的 优势 区 分 Exp, 和 Expra, 则 存在 敌手 

,能 以 的 优势 攻破 假设 3。 

证 明 : 已 知 D=(2,g,g"X:,Xs,gYys,Z) 和 T， 判 断 工 是 等 于 ce(g,g)“ 还 是 取 自 
Gz 的 随机 数 。 模拟 与 之 间 的 交互 式 游戏 Exp,,s 或 Exprinw 如下: 选择 随机 指数 a<-kZw ,对 
每 个 属性 i 选取 随机 指数 <-kZn ,a WA D PHY gX, ,构造 公共 参数 并 发 送 给 : 

params = {N,g,g*,é@(g.g)* = €(g.g°X2).T; = g*Vi€ } 
如 下 构造 第 二 类 半 功 能 密 钥 以 应 答 的 密 钥 询问 : 取 <p Zy Ro Ro Ri) rG, +> 
开 一 gg"Z5Ro， 工 一 SR ，K 一 TIRCViES) 

发 送 给 两 个 消息 M M 和 一 个 访问 矩阵 (4M“ ,p)。 如 下 构造 半 功 能 挑战 密 文 : 从 也 
中 的 g Yo 取 s, 选 取 随 机 值 ws，… aor Zn EN E U = Casus sun) ,选取 一 个 随机 
指数 rir Zn taS e M? (i 二 1,2,…,l) 及 挑战 密 文 如 下 、: 

C=MpT, C = eY (C= GN DD = (g°Y2)") 
HRG. DERT Ssa u = cu ,因此 :在 子 群 G, 上 被 分 割 ,ca 在 子 群 G。, 上 被 分 割 。 挑 
战 密 文中 也 隐 含 设置 了 六 一 Y= cro 

如 果 本 =e(g,g)", 则 该 密 文 是 对 应 于 明文 Ms 的 一 个 半 功 能 密 文 。 如 果 全 是 Gr 中 
的 随机 元 素 , 则 该 密 文 是 对 应 于 某 个 随机 消息 的 一 个 半 功 能 密 文 。 因 此 ， 可 以 根据 的 
输出 区 分 工 的 两 种 不 同情 况 。 

GIH 5-4 证 毕 ) 

由 引 理 5-1 485] BE 5-4, Expres t Expriou 是 不 可 区 分 的 ,而 在 Expru 中 ,8 对 于 来 说 
是 信息 论 隐藏 的 ,所 以 攻击 方案 时 ,优势 是 可 忽略 的 ,由 此 得 以 下 定理 。 

FER 5-6 ”如 果 假 设 1 假设 2 和 假设 3 成 立 , 则 基于 对 偶 系 统 加 密 的 CP-ABE 方案 
是 CPA 安全 的 。 


56 非 单调 访问 结构 的 ABE 





在 前 几 节 介绍 的 ABE 方案 中 ,访问 结构 只 能 是 门限 结构 或 单调 结构 ,对 于 有 和 否定 词 
的 访问 结构 就 不 适用 了 。 下 面 是 一 个 例子 ,一 个 大 学 正在 以 同行 评议 方式 进行 专业 评估 ， 
每 个 系 都 有 一 个 由 其 他 系 的 教授 组 成 的 专家 小 组 进行 评审 。Bob 是 来 自生 物 系 的 评审 小 
组 成 员 ,他 需要 去 阅读 评审 小 组 对 其 他 专业 的 评论 ,并 给 出 自己 的 评审 意见 。 在 ABE 系 
统 中 ,评论 将 由 一 些 属性 来 加 密 , 比 如 说 ,一 条 对 历史 系 的 评论 可 能 会 用 以 下 属性 加 密 : 
历史 、2016 年 、 同 行 评议 。 但 是 Bob 不 应 该 有 阅读 对 他 自己 系 ( 生 物 系 ) 的 评论 的 资格 , 因 
此 ,在 给 Bob 分 发 密 钥 时 ,对 应 的 访问 策略 应 该 是 : 2016 年 .同行 评议 、 非 生物 系 。 其 中 
“ 非 生 物 系 ” 就 是 否定 词 。 这 种 将 否定 词 作为 一 个 单独 的 属性 的 方法 并 不 实用 。 原 因 有 
二 : 一 是 在 应 用 中 , 密 文 会 变 得 很 大 ,因为 属性 中 要 包括 所 有 否定 词 , 比 如 历史 系 评论 对 
应 的 属性 集 就 包括 “ 非 生物 ”“ 非 物理 ”等 所 有 其 他 否定 词 ; 二 是 用 户 在 加 密 一 个 消息 时 ,并 
不 一 定 知道 所 有 的 否定 词 属性 ,而 且 新 的 属性 可 能 会 在 密 文生 成 后 加 入 系统 里 ,比如 新 开 
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了 “信息 安全 系 ”, 之 前 加 密 的 密 文 并 不 会 加 上 “ 非 信 息 安 全 系 ” 这 个 属性 。 

上 例 表明 , 现 有 的 ABE 系统 在 表达 否定 时 有 很 大 局 限 性 ,而 且 这 种 局 限 是 现 有 系统 
的 一 种 基本 特征 。 因 为 现 有 ABE 系统 都 是 基于 秘密 分 割 方案 设计 的 ,而 秘密 共享 只 能 表 
达 单 调 访问 结构 。 

为 了 构造 非 单调 访问 策略 的 ABE, 先 假设 描述 密 文 的 属性 个 数 固定 ,为 4。 然后 青 
给 出 去 掉 这 个 限制 的 方案 。 方 案 的 关键 在 于 如 何 构 造 包含 否定 词 的 单调 访问 结构 。 


561 从 单调 访问 结构 到 非 单调 访问 结构 


下 面 考虑 如 何 用 包含 否定 词 的 单调 访问 结构 来 实现 非 单调 访问 结构 。 这 里 的 挑战 在 
于 ,如 何不 在 密 文中 包含 所 有 未 出 现 属性 的 否定 词 ,而 实现 非 单调 访问 结构 。 下 面 先 给 出 
一 些 符号 和 标识 。 
对 于 每 个 单调 访问 结构 集合 ,都 有 一 族 线性 秘密 共享 方案 {IA }se 。 注 意 ， 中 所 
有 访问 结构 都 是 单调 的 ,因为 每 一 个 都 要 对 应 一 个 线性 秘密 共享 方案 。 设 对 于 每 个 A € 
,访问 结构 中 的 参与 方 集合 有 如 下 性 质 : 每 一 个 中 的 参与 方 有 两 种 类 型 : 要 么 是 正常 
的 ,用 xz 表 示 ; 要 么 是 带 撤 号 的 ,用 x 表示, 而且 有 xzE AM E o RM WG 
定 词 ”, 用 区 表示 参与 方 可 能 是 正常 的 也 可 能 是 带 撤 号 的 。 


下 面 定义 非 单调 访问 结构 集合 “。 设 是 参与 方 集 合 ， 是 中 所 有 正常 参与 方 集合 ， 
“是 对 “中 所 有 参与 方 加 上 撤 号 ,A € 为 上 的 访问 结构 。 下 面 先 定义 “上 的 非 单 调 访 
问 结构 NM(A ) ,首先 ,对 任意 SC ,定义 NCS)=SU( —S)'C 。 然 后 定义 NM 
(A ) 如 下 : S 是 NM(A ) 的 授权 集合 当 且 仅 当 N(S ) 是 A 的 授权 集合 。 这 样 定义 的 非 单 


调 访问 结构 NM(A ) 中 就 只 有 正常 参与 方 。 取 为 所 有 NM(A ) 构 成 的 集合 。 

建立 了 以 上 转化 之 后 ,就 可 以 利用 单调 访问 结构 A 上 的 线性 秘密 分 割 方案 也 来 生成 
非 单调 访问 结构 NM(A ) 的 ABE 密 钥 。 这 里 要 强调 的 是 ,共享 份额 的 大 小 仅 取决 于 
NM(A ) 的 大 小 。 


5.62 ， 非 单调 访问 结构 ABE 的 实现 方案 


下 面 的 实现 方案 中 ,安全 性 基于 判定 性 的 双 线 性 Diffie-Hellman 假设 ( 见 4.3.1 节 )， 
其 中 群 G1 、G; 及 映射 6: Gi XG >G 45 4. 2. 1 节 相 同 ,d 表示 每 个 密 文 拥有 的 属性 数量 。 
(1) 初始 化 。 
Init(d): 
a,B<RZp;3 
gi = "182 = Bs 
选择 两 个 随机 的 d UK BSE h(x) q(x) 满足 q(0) = p; 


gO a) a. 
: : 


params = (g.gi3g2 = g' 


由 公开 参数 ,可 定义 两 个 公开 计算 的 函数 T,V: Zp Gi Te) =g g Va) = 
gxm 。 其 中 gM gO 可 由 公开 参数 通过 指数 上 的 插值 得 到 。 


d) hi ACL hd) = 
g es. msk = a, 
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(2) 加 密 ( 用 属性 7 对 消息 ME Gs 进行 加 密 , 其 中 y 由 4 个 Z; 上 的 值 构成 ) 。 
(M): 
ns 
CT = (7,C® = M.é(gi,g2)’,C® = g, {CP = Tla) sey (CP = V(r)'},ey). 
(3) 生成 密 钥 。ABEGen(A ,msk) 算 法 为 用 户 生 成 秘密 钥 , 使 得 当 密 文 的 属性 满足 
用 户 的 访问 结构 A 时 用 户 才能 解密 。 这 里 访问 结构 A 是 属性 集合 上 的 某 个 单调 访问 结 
构 A 对 应 的 NM(A ), 即 人 A 二 NM(A ).A 关联 一 个 线性 秘密 共享 方案 I 
首先 利用 线性 秘密 分 割 方案 得 到 主 密 钥 a 的 份额 {X;} J, 表示 对 应 的 属性 ， 
注意 涝 可 以 是 正常 的 也 可 以 是 带 撤 的 。 
ABEGen(A ,msk): 
对 每 一 i 
{ 
ri <rZp3 
WR, 是 正常 的 , 则 D; = (DP = gi © TaD", DP = g"); 
WER we, 是 加 撤 号 的 , 则 D; = CD = gf e DP = Va)", DO = gh) 
bs 
D = {D,). 
(4) 解密 (其 中 CT=(y,C? C? , (C9 Jers {Ce }rey)) 0 
已 知 密 文 CT 及 秘密 钥 DD, 解 密 过 程 如 下 : 首先 检查 是 否 有 YE A 一 NM(A )。 如 果 
不 是 , 则 输出 上 ;如 果 是 , 设 X=NOD)EA ,1={i: ;EY), 因 为 Y 是 授权 集合 , 因此 由 秘 
密 分 割 方 案 可 以 得 到 0 = (whe 隐 含 地 满足 Zw: 二 a(“ 隐 含 地 ” BAB A, 和 a 对 解密 者 
都 是 未 知 的 )。 i 
对 于 正 属性 ;EY ( 即 x;E7) ,计算 
Z; =a (DP CO/aD Om) 
=é( gh + TCx:)" sg')/èlg"TCx:)') 
=e g..g)% 
对 于 否定 词 属性 ;EY ( 即 x; 7) ,考虑 集合 ¥,=7U {r} 7| =d+1, BBV 
gq(z) 的 次 数 是 d, 这 样 就 可 以 利用 y: 中 的 点 做 指数 上 的 插值 , 计算 相应 的 拉 格 朗 日 系数 
{ox} rey, 满足 > oqa) 一 4(0) = B, 然后 计算 


zE; 
e(D* 1c? ) 
2(D® Ice )%r ie EDP ,C® )% 


rer 


Zi 








CC82 g) 
efg“ » II KG Je êV (x) sg) 


Er 
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é( gh ge") + elet og") 














Egh g Ret ) Ogi" ng) 
(ga ge) 2 e(g.g)"s 
BOPPE 
= é(g2 8) 
再 计算 
Cm M + @(g25g)" M 





[lze Eo" 
i€l 

FIGE) 加 密 过 程 只 需要 一 次 配对 运算 ,可 以 预计 算 ,与 密 文 关 联 的 属性 的 数量 
无 关 。 解 密 时 正 属性 需要 两 次 配对 运算 ,否定 词 属性 需要 3 次 配对 运算 。 

注 2(d 的 限制 ) 以 上 的 构造 有 一 个 很 大 的 缺点 ,就 是 要 求 所 有 的 密 文 都 必须 关联 
d 个 属性 ,降低 了 使 用 时 的 效率 。 可 用 以 下 方法 去 掉 这 个 限制 : 密 文 关联 的 属性 往往 比 
d 小 , 设 为 ;。 一 个 简单 的 想法 是 产生 d s 个 虚拟 属性 ,这 些 虚拟 属性 没有 什么 实际 含 
义 。 然 而 当 总 属性 数量 很 大 时 ,这 个 做 法 是 很 有 问题 的 ,因为 对 于 关联 属性 数量 较 少 的 密 文 
来 说 ,需要 填充 的 数量 很 大 , 密 文 增加 了 很 多 不 必要 的 成 分 。 要 解决 这 个 问题 ,可 以 使 用 
k 个 加 密 方案 并 行 组 成 一 个 加 密 系 统 , 其 中 每 个 加 密 方案 关联 的 属性 数量 分 别 为 di ,ds，…， 
d:。 当 要 加 密 一 个 关联 ;个 属性 的 密 文 时 ,可 以 使 用 满足 ds 的 最 小 的 di 的 方案 来 做 。 

注 3( 实 现任 意 访问 策略 表达 式 ) ”根据 德 。 摩根 定律 ,任意 布尔 表达 式 都 可 以 转化 
为 由 与 或 . 非 3 种 原子 表达 式 的 组 合 , 而 与 或, 非 3 种 表达 方式 都 可 以 由 以 上 方案 实现 ， 
因此 以 上 方案 可 以 实现 任意 策略 表达 式 。 

在 选 定 属性 集 的 安全 模型 下 ,方案 的 安全 性 可 以 归 约 到 DBDH 假设 。 

定理 5-7 如 果 存 在 敌手 ,能 以 的 优势 攻击 上 述 方案 , 则 存在 敌手 ,能 以 的 优势 攻 
破 DBDH 假设 。 

证 明 : 设 敌 手 的 输入 为 五 元 组 T=(g,A=g*.B=2'.C=g'.Z), iit SRF 进 
行 下 述 游戏 ,判断 工 是 DBDH 五 元 组 还 是 随机 五 元 组 。 

游戏 开始 前 ， 首 先 选 定 意欲 挑战 的 属性 集合 Y( 由 Z; 中 的 a 个 元 素 组 成 ) 。 

(1) 初始 化 。 设 g =A.g: =B, MEER ET 一 a,p8 一 0。 然后 选择 一 个 随机 的 
d 次 多 项 式 f(x) ,并 固定 另 一 个 4 次 多 项 式 u(zx): 4x yula=—24;4rEy 时， 
u(Zz) 关 一 z+。 由 于 两 个 d 次 多 项 式 至 多 只 能 有 d 个 相同 点 ,否则 两 个 多 项 式 完 全 一 样 ， 
因此 以 上 构造 保证 了 w(x) 二 一 xz” 当 且 仅 当 xz EY。 

现在 隐 式 地 设 定 多 项 式 h 和 g (在 指数 上 )。 令 h(xz)= 二 Bu(z) 十 f(x)。 设 Y= (xi， 

2p ssT4) ,然后 从 Zs 中 随机 选取 d MELO. «Oe, ，…,0., ,对 于 i 二 1,2,…,d, 令 q(x) 一 
0. ,加 上 限制 条 件 g(0) 一 8( 隐 含 地 ) ,由 这 d 十 1 个 点 和 B, 使 用 指数 上 的 插值 法 可 以 求 出 
所 有 的 g. 

对 于 i 二 1,2,…,d, 令 gh = gs of eA TO Heh gO, HE H 
gt gh (i 一 1,2,…,d) 和 真实 方案 中 的 值 是 同 分 布 的 。 

(2) 阶段 1。 适应 性 地 对 y 不 满足 的 访问 策略 进行 秘密 钥 询问 。 设 正在 询问 的 访 
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问 结构 是 A ,A (7) ==0, 其 中 A 是 属性 集合 上 的 某 个 单调 访问 结构 A 对 应 的 
NM(A ) ,A 与 一 个 线性 秘密 共享 方案 开关 联 , 设 M FE TT 的 份额 生成 矩阵 。 

BSC 是 一 个 属性 集合 ,Ms 表示 M 中 由 S 中 属性 标识 的 行 构成 的 子 和 矩阵 。 则 当 且 仅 
当 列 向 量 (1,0,…,0) 在 Ms 张 成 的 子 空间 中 时 ,S 中 的 属性 可 以 恢复 秘密 。 由 于 A =, 
WAA (XY)=0, 这 里 XY=N(Y)。 因 此 (1,0,…,0) 和 My 的 行 线 性 无 关 。 

在 方案 的 密 钥 生成 阶段 ,需要 对 a 二 a 进行 秘密 分 割 。 而 在 模拟 中 , 需 用 一 个 稍微 不 
同 的 方法 来 产生 份额 。 

根据 1.5 节 命 题 1. 1, 存 在 向 量 = (au ,am ,zol) ,满足 My 本 =0 ,(1,0,…,0)。 
W=wi=l, o 可 以 用 高 斯 消 元 法 有 效 地 计算 得 出 。 再 选择 一 个 均匀 随机 的 向 量 立 = 
Cuv Up) KE MME THT + (Ca, GER @ TERRA LE w= 二 a 下 是 均匀 分 布 
KD. FERREA = Mae ERE t EY A= Mia 二 MiD 5 a HK. 

以 上 是 对 所 有 属性 分 配 份额 的 过 程 , 下 面 考虑 如 何 产生 密 钥 。 

先 考 虑 为 否定 词 属性 ;二 x! 生成 解密 密 钥 成 分 ,由 定义 区:EY 当 且 仅 当 zx; 7。 
如 果 2 Cy WHF Ey ,4; 可 能 与 a 有 线性 关系 。 随机 选择 ri pZ, BA 
始 化 阶段 设 定 的 q(x;) 二 0. , 隐 含 地 设 定 ;二 一 Xi 十 ,输出 如 下 密 钥 成 分 ; 

D; = (DP = gi. DP = gs? DP = gati) 
后 两 个 元 素 可 以 用 A 求 得 。 
WR zx;F7, 则 由 于 :EY ,hi 与 秘密 值 无 关 ， 完 全 知道 这 个 值 。 这 时 随机 选择 
ri 一 kRZs ,输出 如 下 密 钥 成 分 : 
D; = (DË? = g", D® =V(r)", D® = g") 
其 中 第 二 个 元 素 可 以 用 B 得 到 (V(z) 是 由 公开 参数 可 公开 计算 的 )。 
下 面 为 非 否 定 词 属性 生成 密 钥 成 分 。 
。 如 果 zx;E7Y,2; 与 秘密 值 无 关 ， 随 机 选择 rj eZ, IF 
D: = (DP = gk + Tia)". DP = g") 

。 如 果 ny S gg, 可 以 用 A 和 g 计算 g;3。 随机 选择 ri<pZ,. 8 


fa) 
- aftur) 


DP = ggn (gh? gn, DP = grup gn 
言 5-1 以 上 模拟 产生 的 密 钥 是 有 效 的 ,而 且 和 真实 环境 下 用 同样 公开 参数 产生 
的 密 钥 分 布 相同 。 

证 明 : 先 看 否定 词 属性 工 。 

。 如 果 ES =A trier, EZ, 上 均匀 分 布 且 和 六 之 外 的 变量 都 独立 。 观 察 
可 知 DP = gh = ghts DO = gi CO? EV (a), DP = gat = 2" ,因此 密 钥 
成 分 是 有 效 而 且 正 确 分 布 的 。 

。 如果 z; 儿 7， 使 用 和 真实 方案 同样 的 方法 产生 密 钥 成 分 。 

再 看 非 否 定 词 属性 xo 

。 如 果 z;Ey， 使 用 和 真实 方案 同样 的 方法 产生 密 钥 成 分 。 
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。 WR ziY, 由 于 ulz) 的 构造 ,zf 十 u(zi) 非 0。 令 rr 
匀 分 布 且 独立 于 除 # 外 的 所 有 变量 。 


A 
PEE 
Fula) W r: EZ, EH 


f(s) 

ao att , 
DP =g# thp (gë TD Jí 

fC) 


= girap (g gf Ji 


E 
=g} (gi HD gf) Vrap (gi HGP ghar yt 








d 
= gh (gh HO gi V Fra 


=gi T(x)" 











D? gph gi = g Fa = gr 
密 钥 成 分 有 效 且 与 真实 分 布 相同 。 
(断言 5-1 证 毕 ) 
(3) 挑战 阶段 。 当 决定 结束 阶段 1 时 , 它 输出 两 个 希望 挑战 的 等 长 明文 Mi ,Mi EG 
2。 选取 随机 比特 p<-k{0,1} ,返回 Ms 的 密 文 : 
人 
如 果 Z=e(g,g)* , 则 密 文 为 有 效 密 文 ;否则 ,如 果 Z 一 z(g,g), 则 密 文 是 一 个 随机 
密 文 ,不 包含 Ms 的 任何 信息 。 
(4) 阶段 2。 继续 发 出 如 阶段 1 中 的 询问 ， 以 阶段 1 中 的 方式 进行 回应 。 
(5) 猜测 。 输出 猜测 8’E {0,1)}。 按照 如 下 规则 判断 自己 的 游戏 输出 : 如 果 g = 
B， 输 出 1, 表示 T=e(g,g)* ;否则 输出 0, 表示 Te(g,g)*。 
的 优势 计算 与 定理 4-6 相同 。 


5.7 函数 加 密 











57.1 函数 加 密 简介 


对 于 加 密 人 们 一 直 以 来 有 一 个 根深 蒂 固 的 观点 : 四 加 密 是 一 种 给 持 有 秘密 钥 的 单一 
实体 发 送 消息 或 者 数据 的 方法 ; @@ 对 于 密 文 的 访问 是 “全 有 或 者 全 无 ”的 , 即 要 么 解密 得 
到 全 部 明文 ,要 么 得 不 到 除了 明文 长 度 之 外 的 任何 其 他 信息 。 然 而 对 于 诸如 “ 云 服 务 ” 等 
新 兴 应 用 , 公 钥 加 密 已 经 无 法 满足 其 应 用 需求 。 例 如 ,系统 只 给 解密 者 一 个 授权 ,使 其 只 
得 到 某 个 明文 的 一 个 函数 值 。 一 个 具体 的 例子 是 ,将 加 密 图 像 存储 在 云 服 务 器 ,执法 部 门 
要 进行 特定 目标 的 搜索 。 云 服务 器 需要 秘密 钥 来 解密 包含 特定 目标 的 图 像 ,这 个 秘密 钥 
是 受 限 的 , 意 指 它 只 能 解密 包含 特定 目标 的 图 像 ,而 不 能 得 到 其 他 图 像 的 任何 信息 。 这 个 
秘密 钥 也 许 只 能 得 到 明文 图 像 的 一 个 函数 ,例如 除了 目标 人 脸 以 外 的 其 他 任何 地 方 都 是 
模糊 的 ,传统 的 公 钥 加 密 是 做 不 到 的 。 
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在 函数 加 密 系统 中 ,用 户 解 密 可 得 到 加 密 数据 的 一 个 函数 值 。 具 体 地 ,在 对 于 函数 
F(。,。)( 模 型 为 图 灵机 ) 的 函数 加 密 系统 中 ,权威 机 构 由 主 密 钥 为 用 户 生 成 秘密 钥 sk;， 
用 户 利用 sk 可 由 < 的 密 文 得 到 FF(k,zx)。 系 统 的 安全 性 要 求解 密 者 得 不 到 关于 z 的 更 
多 信息 。 

例如 在 访问 控制 中 , 令 z= (Ind,m) 是 对 消息 m 和 访问 控制 程序 Ind 的 编码 ,函数 
下 输入 k 和 xz 二 (Ind,m), 当 且 仅 当下 根据 接受 Ind 时 ,输出 消息 ,其 中 程序 Ind 应 该 
被 隐藏 。 本 节 介 绍 Boneh, Sahai 和 Waters 给 出 的 函数 加 密 的 定义 和 安全 性 中 。 


572 函数 加 密 的 定义 


首先 给 出 函数 加 密 中 函数 的 定义 。 

定义 5-4 函数 加 密 中 的 函数 F: K XX 一 (10,1)" 定义 在 (K,X) 上 (描述 为 一 个 ( 确 
定性 的 ) 图 灵机 ), 其 中 集合 K 为 密 钥 空间 ,X 为 明文 空间 。K 包含 一 个 特殊 的 密 钥 , 称 为 
空 密 钥 , 记 为 。 

定义 5-5 对 于 函数 下 的 函数 加 密 (Functional Encryption,FE) 方 案 是 定义 在 (K， 
X) 上 的 4 个 PPT 算法 的 元 组 (Init,KeyGen,Enc,Dec), 其 中 kEK 和 xEX: 


(pp,mk)<Init(1 ) (输入 安全 参数 ,输出 公开 参数 pp 和 主 密 钥 mk) 
sk<KeyGen(mk,k) (生成 关于 上 的 秘密 钥 sk) 

CT=Enc(pp,7z) (加 密 消息 x 得 密 文 CT) 

y=Dec(sk,CT) (用 sk 从 CT 中 计算 FC(k,z), 这 个 过 程 称 为 解密 ) 


BER y= 二 FC(k,z) 以 概率 1 成 立 。 
按照 定义 5-4, 标 准 的 公 钥 加 密 是 函数 加 密 的 一 个 简单 实例 : 令 K=={1,), 明 文 空间 
六 ,下 是 按 如 下 方式 定义 在 (K,X) 上 的 函数 : 
x me k=1 
si Len(z)， WẸ k= 
k=1 的 秘密 钥 可 以 对 有 效 密 文 完全 解密 ,K 二 则 简单 地 返回 明文 长 度 。 因 此 ,这 个 
函数 就 是 标准 的 公 钥 加 密 方案 。 
K 中 的 特殊 密 钥 一 一 空 密 钥 刻画 了 由 密 文 泄露 的 关于 明文 的 信息 ,例如 被 加 密 的 明 
文 的 长 度 。 由 = 生成 的 秘密 钥 sk 也 是 空 ,也 记 为 。 任 何人 可 以 在 密 文 CT<-Enc(pp. 
Z) 上 运行 Dec( ,CT) ,得 到 CT 泄露 的 关于 z 的 信息 。 
在 许多 应 用 中 ,明文 -EX 是 二 元 组 (Ind,M)ETXM ,其 中 Ind 称 为 索引 ,M 是 消息 
主体 。 例 如 ,在 电子 邮件 系统 中 ,索引 可 以 是 发 件 人 的 名 称 , 消 息 主体 就 是 邮件 的 内 容 。 
在 这 个 场景 下 ,FE 方案 根据 多 项 式 时 间 可 计算 的 谓词 P: KX1I>{0,1}) 来 定义 ,其 
中 开 是 密 钥 空间 。 具 体 地 ,(KU{ },(IXM)) 上 的 函数 加 密 定 义 为 
M., ww P(k.Ind) = 1 
1. 如果 PC,Ind) =0 
设 CT 表示 (Ind,M) 的 密 文 ,sk; 表示 kEK 生成 的 一 个 秘密 钥 。 则 当 PCR, Ind) =1 
时 ,Dec(sks ,CT) 得 到 CT 中 的 消息 主体 , 当 P(k,Ind) 二 0 时 得 不 到 关于 M 的 任何 信息 。 
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这 种 加 密 称 为 谓词 加 密 , 可 看 作 是 函数 加 密 的 子 类 ,其 中 明文 空间 X 有 附加 的 结构 。 
在 谓词 加 密 中 ,如 果 函 数 下 满足 F(,(Ind,MD)) 二 (Ind,Len(M)), 即 Dec( ,CT) 给 
出 明文 的 索引 及 长 度 , 则 称 这 种 谓词 加 密 为 具有 公开 索引 的 谓词 加 密 。 


573 函数 加 密 的 分 类 


许多 加 密 方案 都 可 以 看 作 是 函数 加 密 的 特例 ,本 节 给 出 几 个 实例 说 明 如 何 用 函数 加 
密 来 刻画 这 些 加 密 方案 。 


1. 具有 公开 索引 的 谓词 加 密 系 统 

这 类 系统 包括 IBE 系统 和 ABE 系统 。 

1) 基于 身份 的 加 密 

在 IBE 系统 中 , 密 文 和 秘密 钥 分 别 与 一 个 串 ( 也 就 是 身份 ) 相 关联 ,如 果 两 个 串 相等 ， 
则 该 秘密 钥 可 以 解密 该 密 文 。 

IBE 方案 可 由 下 面 的 谓词 加 密 形式 化 地 描述 : 

。 密 钥 空间 K={0,1}* Ut}. 

。 明文 是 二 元 组 (Ind,M) ,其 中 索引 空间 为 [={0,1)*。 

。 在 KXI 上 的 谓词 P 定义 为 
1， MR k= Ind 
0， 否则 
对 于 可 以 支持 空 密 钥 函数 的 系统 , 密 文 中 必须 包含 Ind 和 明文 消息 的 长 度 。 

2) 基于 属性 的 加 密 

基于 属性 的 加 密 又 分 为 KP-ABE 和 CP-ABE。 

(1) KP-ABE, n 变量 密 钥 策略 ABE(KP-ABE) 系 统 可 以 描述 为 一 个 对 于 谓词 P,: 
K XI 一 {0,1}) 的 谓词 加 密 方案 (具有 公开 索引 的 ) ,其 中 : 

。 密 钥 空间 K 是 多 项 式 规模 的 n 变量 二 (zi ,z,，…,z,)E10,1)" 布尔 公式 8$ 的 集 

合 。 用 $() 表 示 公 式 $ 在 < 的 值 。 
。 明文 是 二 元 组 (Ind 二 2,M) ,其 中 索引 空间 为 1 二 10,1)", 这 里 将 表示 为 a, 
Rotts ty 的 比特 向 量 。 
。 在 KXI 上 的 谓词 P, 定义 为 


P(k E€ K\{ ) ,IndE p={ 


1, WR g(F)=1 
Oo 否则 
系统 中 , 密 钥 提供 了 一 个 访问 公式 ,访问 公式 为 真 才 能 解密 并 恢复 消息 mm。 

(2) CP-ABE。 密 文 策略 ABE(CP-ABE) 中 密 钥 和 密 文 的 角色 与 其 在 密 钥 策略 ABE 
(KP-ABE) 中 是 相反 的 。n 变量 密 文 策略 ABE 系统 可 以 描述 为 一 个 对 于 谓词 P,: KX I> 
{0,1} 的 谓词 加 密 方案 (具有 公开 索引 的 ) ,其 中 : 

。 密 钥 空 间 K=(0.1}" 是 表示 个 布尔 变量 二 (z1 ,zs，…,z,)E10,1}" 的 n 比特 

串 的 集合 。 

。 明文 是 二 元 组 (Ind 一 %,M) ,其 中 索引 空间 工 是 zz 个 变量 上 的 所 有 多 项 式 规模 的 
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布尔 公式 多 的 集合 。 
。 在 KXI 上 的 谓词 P, 定义 为 
1, 如 果 %(z) 一 1 


P,(Z € KM }.Ind=$E D = 
0， 否则 


2. 谓词 加 密 系统 

具有 公开 索引 的 谓词 加 密 系统 允许 表达 多 种 访问 控制 形式 ,但 有 两 个 局 限 。 首 先 ,策略 
Ind 以 明文 形式 作为 空 函数 的 一 部 分 给 出 ,而 Ind 通常 被 认为 是 敏感 信息 。 其 次 ,不 允许 在 
密 文 数据 上 计算 ,不 便于 密 文 检索 类 的 应 用 。 下 面 描述 不 泄露 索引 Ind 的 谓词 加 密 系统 。 

D EAH IBE 

匿名 的 基于 身份 加 密 由 Boneh 等 人 首先 提出 中 ,后 来 由 Abdalla 等 人 外 给 出 形式 化 
定义 ,其 他 的 构造 包括 文献 [9-12]。 匿 名 IBE 中 的 函数 与 IJBE 中 的 函数 类 似 , 但 表示 密 文 
身份 的 串 被 隐藏 起 来 ,只 有 具有 相应 秘密 钥 的 人 才 可 以 确定 它 。 因 此 ,可 以 用 与 上 述 完 全 
相同 的 方式 描述 匿名 IBE, 除 了 令 FC ,(Ind,M)) 王 Len(M)。 空 函数 仅 暴露 消息 长 度 , 但 
是 Ind 是 保密 的 。 

2) 隐藏 向 量 加 密 

隐藏 向 量 加 密 系统 由 Boneh 和 Waters 提出 中 ,其 中 密 文 是 由 个 {10,1)" 上 的 元 素 
构成 的 向 量 ,秘密 钥 是 由 nn 个 {x }U({0,1)" 上 的 元 素 构成 的 向 量 ,其 中 x 是 通配符 。 更 
准确 地 说 : 

。 密 钥 空间 K 由 所 有 向 量 (w ,vs,…,v,) 构 成 ,其 中 每 个 vE{x})U{0,1}*。 

。 明文 是 二 元 组 (Ind= (wi wy seer sw, ,MD ,其 中 每 个 w;€1{0,1)" 。 索 引 空间 I= 

cioe 
。 在 KXI 上 的 谓词 P, 定义 为 


1， WR u = w A * (对 所 有 站 
P, (Cay st setts) E K\{ },Ind = (ww sey "so, )) = am i 


0， 否则 
谓词 的 应 用 包括 谓词 的 合 取 和 范围 搜索 。 注 意 到 PC ,(Ind,M)) 王 LenCM) ,所 以 密 
文 不 暴露 Ind。 
3) 内 积 谓词 


Katz, Sahai 和 Waters 提出 了 一 个 系统 529 ,其 中 可 以 检查 环 Zw 上 的 点 积 是 否 等 于 0， 
N 是 由 初始 化 算法 随机 选择 的 3 个 素数 的 乘积 。 方 案 可 实现 析 取 、 多 项 式 、 合 取 范 式 
(CNF) 及 析 取 范式 (DNF) 等 更 复杂 的 运算 。 以 后 Okamoto 和 Takashima”! LL & Lewko 
等 人 中 给 出 了 域 E, 上 的 构造 。n 长 向 量 的 内 积 谓 词 描述 如 下 : 

。 初始 化 算法 定义 了 一 个 随机 选取 的 长 素数 p, 其 中 是 安全 参数 。 

。 密 钥 空间 K 由 所 有 向 量 信 二 (vi ,vs,…,v,) 构 成 ,其 中 每 个 v; EF,。 

。 明文 是 二 元 组 (Ind 二 (wo ,rw ,… ,tw,) ,MM) ,其 中 每 个 w EF,。 索 引 空间 =F)". 

。 XI 上 的 谓词 P,., 定 义 为 
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is 如 果 SD v, ew =0 
i=1 


Prp (Cay 902 9% st) E K\{ } ,Ind = (wr e200, )) = | 
0， 否则 


3. 其 他 系统 和 组 合 

上 述 核心 系统 的 不 同 的 组 合 包括 属性 加 密 和 广播 加 密 的 组 合 "9 、 基 于 身份 的 广播 加 
BAGO 广播 HIBE 系统 "中 以 及 内 积 加 密 和 ABE 的 组 合 "”。 所 有 这 些 都 可 以 看 作 
是 函数 加 密 的 特殊 情况 。 


574 基于 游戏 的 安全 性 定义 


1. 定义 
设 工 是 定义 在 (K,X) 上 关于 函数 下 的 FE 方案 。 安 全 性 定义 的 目标 是 定义 抵御 适 
应 性 敌手 ,敌手 可 以 重复 地 询问 关于 有 EK 的 秘密 钥 sk ,之 后 输出 两 个 挑战 消息 Mo， 
M, E X 并 从 挑战 者 那里 得 到 M, IÈ M, 的 密 文 CT。 显然 ,如 果 敌 手 有 关于 密 钥 REK 的 
秘密 钥 ski Mi k WIE FP (k.M) AF (RM). MF HEEE Dec (sk, CT) =F (k, Mo) FE TIR 
立 , 若 成 立 则 知 CT 是 对 Mo 的 加 密 , 否 则 是 对 M 的 加 密 。 因 此 敌手 赢得 IND 游戏 。 
所 以 为 了 满足 语义 安全 的 定义 ,必须 严格 限制 敌手 对 M。 和 Mi 的 选择 ,限制 条 件 为 ， 
如 果 敌 手 拥有 关于 AEK 的 秘密 钥 sk, , 则 
F(k.M,) = F(k,M,) (5.2) 
因为 空 密 钥 暴露 明文 长 度 , 条 件 式 (5. 2) 保 证 了 |Mo| 王 |Mi |。 
函数 加 密 方案 在 CPA 下 的 IND 游戏 如 下 : 
(1) 初始 化 。 挑 战 者 运行 (pk,sk)< 一 Init(1 ) ,敌手 获得 系统 的 公开 钥 pk. 
(2) 询问 阶段 1。 适应 地 提交 询问 k © K Ci = 1,2. e), RG GB sk 一 
KeyGen(sk-;) o 
(3) 挑战 。 提交 两 个 消息 Mu ,Mi EX, 满 足 条 件 式 (5.2) ,然后 得 到 Enc(pk,My). 
(4) 猜测 。 继续 像 阶段 1 一 样 提 交 密 钥 询 问 。 询 问 结束 后 输出 8' ,如果 B' 二 8, 则 
攻击 成 功 。 
敌手 的 优势 可 定义 为 参数 的 函数 : 


FE-CPA 


Advt O = |Prla’ 一 月 一 去 (5.3) 
定义 5-6 一 个 FE 方案 荆 是 语义 安全 的 ,如 果 对 于 所 有 PPT 敌手 ,函数 


FE-CPA 


Advg, ( ) 是 可 忽略 的 。 


2. 一 个 “ 穷 举 法 ”构造 的 FE 方案 
设 密 钥 空间 K 是 多 项 式 规模 , 记 ;二 |K| 一 1,K 二 { .ki,…*k,}。 在 下 面 的 穷 举 法 构 
造 中 ,公共 参数 ,秘密 钥 和 密 文 的 规模 都 与 成 比例 。 
设 (G,E,D) 是 CPA 安全 的 公 钥 加 密 方案 ,FE 方案 的 穷 举 法 构造 如 下 ,其 中 实现 的 
函数 是 F. 
初始 化 过 程 : 
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Init ) : 
for i = 1 to s do(pp;-mk;) — GA ); 
pp = (ppi»** ,pp;) mk = (mk, ,-*+.mk,). 
密 钥 产生 过 程 : 
KeyGen(mk.,;): 
sk; = mk; 
加 密 过 程 : 
A 
CT =(C,,C,,°**5C,) 
=(FC .x),E(ppi > F(R + )) 5 *** ECpp, Fk,,7x))) 





解密 过 程 : 
w (CT): 
如 果 sk, = 输出 Co ,否则 输出 DCsk;,C;). 
显然 , 密 文 CT 暴露 了 FC(k;,z)(i 二 1,2,…,s) 的 比特 长 度 。 因 此 方案 的 安全 性 不 能 
要 求 这 个 信息 被 保密 ,可 假定 |F(k; ,zx)1(i 二 1,2,…,s) 包 含 在 空 函 数 FF( ,z) 中 。 
定理 5-8 设 下 为 函数 比特 长 度 公 开 的 函数 ,如 果 (G,E,D) 是 一 个 CPA 安全 的 公 钥 
加 密 方案 , 则 以 上 穷 举 法 构造 的 实现 下 的 FE 系统 是 CPA 安全 的 。 
证 明 : 通过 对 挑战 密 文 的 * 个 成 分 做 标准 的 混合 论证 来 完成 。 


3. 基于 游戏 的 安全 性 定义 的 不 充分 性 

对 于 某 些 复杂 函数 来 说 ,定义 5-6 太 弱 了 , 即 系统 满足 定义 5-6, 但 实际 上 并 不 安全 。 

下 面 是 一 个 简单 的 例子 , 设 x 是 一 个 单 向 置换 ,下 是 仅 接受 平凡 密 钥 的 函数 ,定义 
WF: 





FC ,x)= x(x) 

显然 ,实现 下 的 函数 加 密 为 Enc(pk,x) 二 x(x), 它 满足 定义 5-6。 

E x 为 恒 等 置 换 , 则 Enc(pk,z) 一 z,* 即 密 文 完 全 暴露 了 明文 。 然 而 ,容易 验证 这 个 
构造 满足 定义 5-6。 这 是 因为 对 于 任意 两 个 zx fly. FO) SF ,y) 当 且 仅 当 zx 一 >y。 因 
此 攻击 者 可 以 仅 发 出 挑战 消息 Me AM ,其 中 M =M. 

然而 ,这 个 例子 不 能 满足 5.7. 5 节 给 出 的 基于 模拟 的 安全 性 定义 ,因为 如 果 zx 是 被 随机 
选取 的 ,真实 的 敌手 总 可 以 恢复 z, 而 模拟 者 如 果 不 攻破 置换 x 的 单 向 性 , 则 无 法 模拟 zx。 

这 个 例子 说 明 , 如 果 函 数 的 输出 具有 某 种 计算 隐藏 性 , 即 方案 的 安全 性 不 仅 基于 函数 
的 信息 论 性 质 ,而 且 还 基于 函数 的 计算 性 质 , 这 时 基于 游戏 的 安全 性 定义 不 足以 刻画 方案 
的 安全 性 ,因为 这 种 安全 性 定义 没有 考虑 函数 所 具有 的 计算 隐藏 性 。 


575 基于 模拟 的 安全 性 定义 


本 节 介 绍 基 于 模拟 的 函数 加 密 的 安全 性 定义 ,这 个 定义 更 有 用 处 ,尤其 是 在 与 安全 计算 
协议 有 关 的 场景 中 。 本 节 使 用 的 随机 论 言 机 模型 有 两 种 : 一 种 是 强 随机 论 言 机 模型 ,也 称 
为 可 编程 的 随机 论 言 机 模型 “ 强 " 意 指 在 理想 模型 中 随机 论 言 机 也 可 以 被 模拟 ; 另 一 种 是 不 

210 





ms 第 5 章 其 于 属性 的 密码 体制 mm 


可 编程 的 随机 论 言 机 模型 ,其 中 ,模拟 器 仅 能 访问 区 分 器 所 能 访问 的 同一 个 随机 论 言 机 。 
安全 性 定义 使 用 强 随机 论 言 机 模型 ,否则 在 不 可 编程 的 随机 论 言 机 模型 中 模拟 安全 
的 函数 加 密 是 不 可 能 获得 的 。 
定义 中 符号 含义 如 下 : AR 表示 算法 A 可 以 向 它 的 论 言 机 发 起 一 个 询问 4 , 论 言 
机 执行 B(q,z) 输 出 一 个 二 元 组 (yz ) ,将 y 发 给 A 作为 对 其 询问 的 应 答 , 将 xz 更 新 为 x 
且 被 返回 给 B, 在 下 次 B 作为 论 言 机 被 询问 时 ,作为 询问 算法 的 输入 。A5(… 表 示 A 可 以 向 
它 的 论 言 机 发 起 一 个 询问 g, 此 时 B (o) 被 执行 ,任何 由 也 发 起 的 论 言 机 询问 都 由 A 回答 。 
定义 5-7 一 个 FE 方案 也 是 模拟 安全 的 ,如 果 存 在 一 个 PPT 算法 ( 论 言 机 )Sim 一 
(Sim, ,Simo ,Sims ) ,使 得 对 于 任意 PPT 算法 Message 和 Adv( 两 个 论 言 机 ) ,以 下 两 个 实 
验 的 输出 分 布 ( 在 安全 参数 上 ) 是 计算 不 可 区 分 的 。 
Expren : 
(pp,mk) < Init(1 ); 
CE yt) < (Message Sek > (pp); 
CT = Enc(pp, 7); 
a <= Advkecems (pp, CT,r); 
设 yieee ye 是 前 面 步骤 中 Message 和 Adv 向 KeyGen 所 做 的 询问 ; 
fi HY} Cpp T Toas yist sy) 0 
(pp,o) < Sim, (1 ); 
CE sr) < Message™o® ILN ( pp); 
a < Simi“ od (0, FC 3) 3 
BE y,,…,y, 是 前 面 步骤 中 Sim 向 下 所 做 的 询问 ; 
HH CPP. T Teas yi ett sy) o 
定义 可 以 被 进一步 扩展 ,以 允许 敌手 适应 性 地 接收 挑战 密 文 (而 不 是 一 个 单一 向 量 )。 


1. 弱 安全 性 定义 下 模拟 安全 的 函数 加 密 的 不 可 能 性 
下 面 说 明 在 不 可 编程 的 随机 论 言 机 模型 下 ,模拟 安全 的 函数 加 密 是 不 可 能 获得 的 , 即 
使 对 于 一 类 非常 简单 的 函数 (对 应 于 IBE 的 函数 ) 也 是 不 能 获得 的 。 
安全 性 的 一 个 弱 定 义 如 下 。 
定义 5-8 一 个 FE 方案 工 是 弱 模 拟 安全 的 ,如 果 对 于 任意 PPT 算法 Message 和 
Adv, 存 在 一 个 PPT 算法 Sim, 使 得 以 下 两 个 实验 的 输出 分 布 (在 安全 参数 上 ) 是 计算 不 
可 区 分 的 : 
ExPprea : 
(pp,mk) < Init ); 
(T.t) < Message(1 ); 
CT = Enc(pp.7); 
a <= Adya (pp,CT,2); 
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设 yi sy, 是 前 面 步骤 中 Message 和 Adv 向 KeyGen 所 做 的 询问 ; 
WCT Tas yy)。 

EXPiacat : 
(T.t) < Message(1 ); 
a< Sim"? A pt, FC, Z)); 
设 yiee o ye 是 前 面 步 骤 中 Sim 向 下 所 做 的 询问 ; 
HHT Teas Mott se) o 

若 将 询问 的 输出 wm ose ye 改 为 无 序 的 ,得 到 更 弱 的 安全 性 。 

定理 5-9 设 下 是 关于 IBE 的 函数 ,在 不 可 编程 随机 论 言 机 模型 下 ,不 存在 关于 下 的 
任何 弱 模 拟 安全 的 函数 加 密 方案 。 

证 明 : 设 互 是 随机 论 言 机 。 构 造 如 下 具体 的 敌手 。 

Message(1 ); 4 Lenw 是 KeyGen 对 于 安全 参数 和 密 钥 0 输出 的 最 大 比特 长 度 , 输 
HOS AR 对 于 i 二 1,2,… Lema + ,zi 取 为 (x;,0), 其 中 x; 是 随机 独立 选取 的 一 个 
比特 ,z 取 为 空 。 

Advkeceemke (pp,GT,r): 调用 随机 论 言 机 H. E 妃 输入 (pp,CT) ,得 到 一 个 长 为 

WWE w。 向 KeyGen 询问 身份 w 的 秘密 钥 , 再 询问 身份 0 的 秘密 钥 。 使 用 身份 0 的 秘 
密 钥 解密 CT。 输 出 Adv 得 到 的 整个 文本 ,包括 对 H 的 所 有 调用 和 与 HOY TAT EE 。 

现在 考虑 Sim 必须 做 什么 才能 输出 一 个 与 真实 交互 不 可 区 分 的 分 布 。 因 为 Adv 只 
对 形 如 wm 的 身份 做 单 次 密 钥 询问 ,Sim 也 必须 向 下 做 一 次 这 种 形式 的 询问 ( 它 的 第 一 次 
询问 )。 又 由 于 区 分 器 可 以 检查 这 个 ww 是 否 为 日 作用 于 某 个 形 如 (pp,CT) 的 串 而 产生 的 
输出 ,因此 Sim 必须 在 向 下 做 任何 询问 之 前 也 向 五 执行 这 个 询问 。 但 此 时 Sim BEAT HK 
于 明文 x; 的 任何 信息 ( 仅 当 模拟 器 在 以 后 向 下 发 起 身份 0 的 询问 时 才 会 得 到 这 个 信息 )， 
因此 在 仅 收 到 Lens 比特 信息 后 ,Sim 无 法 确定 x 二 (pp,CT), 所 以 Sim 无 法 输出 一 个 与 
真实 交互 不 可 区 分 的 分 布 。 

(定理 5-9 证 毕 ) 

上 述 证 明 中 ,Sim 对 下 的 询问 是 被 顺序 记录 的 。 然 而 , 当 询 问 是 无 序 集合 时 ,定理 5- 
9 也 成 立 , 只 是 构造 的 敌手 和 消息 分 布 要 稍微 复杂 一 点 ,其 中 的 身份 取 (i,0) 和 (i,1) 的 形 
式 (i 一 1,2,…，), 且 对 于 每 个 身份 被 加 密 的 消息 将 是 随机 的 长 消息 。 敌 手 调用 随机 论 言 
机 互 , 向 互 输 入 (pp,CT) ,得 到 一 个 长 为 WA w, E KeyGen 询问 身份 w 的 秘密 钥 ,得 
到 (i,wi) (i 二 1,2,…，)。Sim 无 法 确定 x 二 (pp,CT), 所 以 Sim 无 法 输出 一 个 与 真实 交 
互 不 可 区 分 的 分 布 。 


2. 一 个 基于 模拟 的 穷 举 法 方案 
以 下 模拟 安全 的 FE 方案 是 在 强 随机 论 言 机 模型 下 , 它 是 5.7.4 节 穷 举 法 方案 的 简 
单 修改 ,其 中 用 随机 论 言 机 对 函数 的 输出 值 进行 盲 化 。 
方案 中 使 用 的 随机 论 言 机 为 H: {0,1})" 习 {0,1),H(z) 也 用 来 输出 任意 长 度 的 串 ， 
意 指 H(z) 是 Ll 个 比特 昌 (z,1,),…,HH(z,l) 的 级 联 。 
id s=|K|—1.K={ ,如 ,…,k,},(G,;E,D) 是 一 个 CPA 安全 的 公 钥 加 密 方 案 , 下 面 
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的 FE 方案 实现 函数 下。 


初始 化 过 程 : 
Init( ): 

for i= 1 to s do (pp;-mk;) «GQ ); 

pp = (ppi»** ,pp;) mk = (mk, ,… ,mk,). 
密 钥 产生 过 程 : 

KeyGen(mk,;) : 
sk; = mk; 

加 密 过 程 : 


risres ors —pr {0,1}; 
CT =(C, Cis Cap) 
=(F( x), E(ppi +m) +H(n) ® Flki sx), ECpp, sr) HGr,) @ Fk, ,7)). 
a (CT): 
如 果 sk; = 输出 Co AFM HHH CD(sk; «C21 O Cz. 
定理 5-10 设 下 是 一 个 只 暴露 函数 比特 长 度 的 函数 ,(G,E,D) 是 一 个 CPA 安全 的 
公 钥 加 密 方 案 , 则 上 述 实 现下 的 穷 举 法 FE 方案 在 随机 论 言 机 模型 下 是 模拟 安全 的 。 
WEAR: 首先 构造 定义 5-7 所 需要 的 通用 模拟 器 Sim, 、Simo 和 Sim, o 
(1) Sim, (1 ) 运 行 Init( ) 得 到 pp 和 mk, 输 出 pp UK o=(mk, O", K™) ,其 中 Ol 
和 K 呈 是 两 个 列表 ,OP 用 于 记录 被 模拟 的 随机 论 言 机 (初始 为 空 ) KP i ae E AH 
问 ( 初 始 为 空 ) 。 
(2) Simo(。)[[c]] 工 作 如 下 。 
应 答 敌 手 Message 的 随机 论 言 机 询问 和 KeyGen 询问 如 下 : 
”随机 论 言 机 询问 。 对 于 询问 g, 检 查 (g,y) 是 否 已 经 在 O" 中。 如 果 在 , 则 将 > 作 
为 应 答 。 和 否则 ,随机 选择 一 个 新 的 y 作为 应 答 , 并 将 (q,y) 加 入 OP ,更 新 o 中 
hyo". 
。 密 钥 询问 。 如 果 Message iff lA k: 的 密 钥 , 则 向 其 发 送 秘密 钥 mk Ki k: 加 入 
列表 K*, 更 新 o PAY K' 
(3) Simf AP GPC.) TEM o 
D HER — AB BA Sc ra ae, Bm PATO RG PBT ME HEA Sim 的 
输入 F(T，) 得 到 )。 对 于 i 二 1,2,…,m, 选 择 随机 串 rit erie ttt rine Ria Ria ttt Riso 
对 于 j= 二 1,2,…,s, 构 造 crj- SEG or) M cay =R WEIR O*' 已 经 包含 如 上 选 
择 的 某 个 六 的 论 言 机 询问 , 则 中 断 。 
© 对 于 Ke 中 的 所 有 被 询问 过 的 密 钥 ki VH F IGE F CiT) = Ce een ot ,zm) ,将 
Cria Riaz) stts Crim ;Rin 电 zm) 加 入 O ,如 果 某 个 mv 已 经 出 现在 Ois 中 , 则 中 断 。 
@ 用 第 @ 步 构造 的 “ 假 的 ” 密 文 CT 调用 Adv(pp,CT,7)。 
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@ 根据 敌手 Adv 所 做 的 随机 论 言 机 询问 和 KeyGen 询问 ,做 如 下 应 答 : 
。 随机 论 言 机 询问 。 对 于 询问 q, 检 查 (g,y) 是 否 已 经 在 O 中。 如 果 在 ,将 y 作为 
应 答 ;如果 不 在 ,检查 g 是 否 等 于 前 面 选 择 的 某 个 随机 值 r;,; ,如 果 相 等 则 退出 ( 稍 
后 将 看 到 这 个 概率 是 可 忽略 的 ) 。 如 果 上 述 条 件 都 不 满足 , 则 随机 选择 一 个 新 的 
y 作为 应 答 ,并 将 (g,y) 加 入 列表 Or 。 
。 密 钥 询 问 。 如 果 Adv 询问 密 钥 &;, 调 用 下 得 到 FF(ki, 工 ) 二 (zi ,zo，… ,zn), 将 
Cria Rin Dar) ,rin Rim DDMA OW ,发 送 秘密 钥 mk; 给 Adv. 
© 当 Adv 终止 并 输出 a 时 ,模拟 器 也 输出 这 个 a 完成 模拟 。 
如 果 上 述 模 拟 过 程 仅 以 可 忽略 的 概率 中 断 , 则 理想 分 布 与 真实 分 布 就 是 统计 接近 的 ， 
因为 (除了 中 断 情况 ) 上 述 模 拟 的 行为 与 真实 执行 完全 相同 。 
现在 证 明 模 拟 器 中 断 的 概率 是 可 忽略 的 。 否 则 意味 着 敌手 Adv 以 显著 的 概率 6, 在 
HREH k 之 前 已 向 Sim 询问 了 关于 x 的 值 。 下 面 将 利用 Adv 构造 另 一 敌手 攻击 公 
钥 加 密 方案 (G,E,D) 的 单 向 性 。 
假定 已 知 (G,E,D) 的 公开 钥 pk 和 一 个 密 文 CT 二 E(pk,r) ,其 中 rE€ (0,1) 是 随机 
值 。 下 面 证 明 可 以 以 至 少 6/sL? 的 概率 输出 ,其 中 工 是 以 mx A Adv 询问 随机 论 言 机 
的 次 数 为 上 界 的 多 项 式 。 运行 上 述 的 模拟 ,其 中 它 提 前 随机 地 选取 iE[1,s]J 和 jE€E[1， 
L]; H pk 代替 pp; FH CT 代替 Cs;_1( 如 果 j 一 m, 则 退出 )。 当 Adv 询问 到 秘密 钥 k; 时 ， 
在 Adv 询问 过 的 g 次 询问 中 随机 选择 一 个 ,作为 它 对 于 的 猜测 ， 以 至 少 6/sL? 的 概率 
成 功 。 
(定理 5-10 证 毕 ) 


3. 两 个 安全 性 定义 对 于 公开 索引 加 密 方案 是 等 价 的 

下 面 证 明 满足 定义 5-6( 即 在 基于 游戏 的 定义 下 是 安全 的 ) 的 具有 公开 索引 的 谓词 加 
密 系统 ,在 随机 论 言 机 模型 下 也 满足 定义 5-7( 即 在 基于 模拟 的 定义 下 也 是 安全 的 ) 。 这 
个 结果 说 明 ,对 于 包括 各 种 形式 的 ABE 在 内 的 公开 索引 加 密 方案 ,两 个 安全 性 定义 在 随 
机 论 言 机 模型 下 是 等 价 的 。 

i I= (Init, KeyGen, Enc, De) XPA] P: KX1>{0,1}) 的 一 个 具有 公开 索引 的 
FE 谓词 加 密 系统 ,将 工 按 如 下 方式 转换 成 ITr = Unit, KeyGen, Ency Decu) HP H 4 
一 个 随机 论 言 机 。 

。 Encr(pp,(Ind,M) ): 选择 一 个 随机 值 rp {0.1} ,输出 

CT = (Enc(pp. (Ind,n)),H(r) ® M) 

。 Decy(sk.(C,.C,)): 如 果 Dec(sk.C)= 1 , 则 输出 上 ,否则 输出 HCDec(sk.C; POC, 。 

定理 5-11 证 明 这 个 构造 是 模拟 安全 的 。 

定理 5-11 如 果 系 统 工 是 基于 游戏 安全 的 (满足 定义 5-6), 则 在 随机 论 言 机 模型 下 ， 
In 是 基于 模拟 安全 的 (满足 定义 5-7)。 

证 明 : 按 如 下 方式 构造 定义 5-7 所 需要 的 通用 模拟 器 Sim Simo 和 Sim, 。 

(1) Sim (1 ): 运行 Init(1 ) 得 到 pp 和 mk. 输出 pp LAR o=(mk.O™, K™), Hp 
OF 和 Ke 是 两 个 列表 ,OF 用 于 记录 被 模拟 的 随机 论 言 机 (初始 为 空 ),KS 用 于 记录 密 钥 
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询问 (初始 为 空 ) 。 
(2) Simo(。)[[o]] 工 作 如 下 。 
应 答 敌 手 Message 的 随机 论 言 机 询问 和 KeyGen 询问 如 下 : 
。 随机 论 言 机 询问 。 对 于 询问 gq, 检查 (gq,y) 是 否 已 经 在 O* 中 。 如 果 在 , 则 将 > E 
为 应 答 。 否 则 ,随机 选择 一 个 新 的 y 作为 应 答 , 并 将 (g,y) 加 入 O™, 更 新 o 中 
的 Os。 

。 密 钥 询问 。 如 果 询 问 的 是 关于 上 的 密 钥 , 则 发 送 秘密 钥 sk<-KeyGen(mk,k) 给 
它 ,将 & 加 入 列表 K*, 更 新 o 中 的 K*。 

(3) Simp E A" OPP Co, F(Z, D TEM F : 

O 准备 一 个 “ 假 的 ”明文 向 量 : en Wx 中 的 元 素 个 数 ,Ind Ind; ,…,Ind, Ax 中 
的 索引 (Sims 可 用 ( OH 下 得 到 ”和 这 些 索引 )。 对 于 i= 1.2.0. ,选择 随机 串 x ， 
root ery 和 有 R R250 R, FI Cia = Enc (pps (nd; »r;)) #l Cis 二 Ri(i 二 1,2,…,n), 令 
OT =a cC pala 

© 对 于 Kb fy or Aa i ld EH k DA F EB FR) =Car zest sen) Ht 
于 i 二 1,2,…,n, 如 果 AL BO ROD MA O, WRT r BAM LE O™ p, I 
中 断 。 

© 用 第 四 步 构造 的 那个 “ 假 的 ? 密 文 CT 调用 Adv(pp,CT,r) 。 

© 根据 敌手 Adv 所 做 的 随机 论 言 机 询问 和 KeyGen 询问 ,做 如 下 应 答 : 

。 随机 论 言 机 询问 。 对 于 询问 gq, 检查 (g,y) 是 否 已 经 在 O 中 。 如 果 在 ,将 y 作为 

应 答 。 如 果 不 在 ,随机 选择 一 个 新 的 y 作为 应 答 ,并 将 (Co,y) 加 入 列表 OF 。 
密 钥 询 问 。 如 果 询 问 的 是 密 钥 ,调用 下 得 到 FFCR, 工 ) 一 (xm)。 对 于 
i 二 1,2,…,n, 如 果 ze AL WG, ,Ri 外 zi;) 加 入 列表 O'*。 如 果 某 个 x; 已 经 出 现 
在 OP LEM MN RAR Oz. WPM. BREA Adv 发 送 秘密 钥 sk 一 
KeyGen(mk.k). 

© 4 Adv 终止 并 输出 a 时 ,模拟 器 也 输出 这 个 a 完成 模拟 。 

类 似 于 定理 5-10, 可 证 明 模 拟 器 中 断 的 概率 是 可 忽略 的 ,而 且 模 拟 器 产生 的 分 布 与 
真实 分 布 是 统计 上 接近 的 。 中 断 概率 从 廿 的 基于 游戏 的 安全 性 得 出 ,因为 基于 游戏 的 安 
全 性 意味 着 对 于 加 密 随 机 值 的 单 向 安全 性 ,而 这 又 意味 着 敌手 在 得 到 能 解密 第 i 个 密 文 
的 秘密 钥 之 前 ,是 不 可 能 就 x; 的 值 去 询问 随机 论 言 机 的 。 


(定理 5-11 证 毕 ) 
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